Paiement par reconnaissance faciale
Le marché est-il prêt ?
Et si on pouvait bientôt se passer de code bancaire ou même de carte bancaire ? Si le simple fait de regarder un écran vous permettait de payer de manière sécurisée ? C’est parce que sécurité rime rarement avec facilité que le paiement par reconnaissance faciale, n’est pas encore apparu en France. Toutefois, il se développe petit à petit dans certains pays et notamment en Chine. Yaël Cohen-Hadria, Avocate Associée IP/IT/Data, nous rappelle les enjeux de cette technologie.
Ce nouveau mode de paiement, basé sur la reconnaissance du visage par un écran, permettrait de payer directement des achats sans présenter de moyen de paiement autre que son visage. Si cette technique parait innovante et à la pointe de la technologie, elle pose néanmoins des enjeux considérables quant à la protection des données personnelles, et fait donc l’objet de vifs débats. Que faut-il en retenir ?
Une avancée technique : le paiement par reconnaissance faciale, comment ça marche ?
La reconnaissance faciale est une technologie biométrique de plus en plus utilisée. Ce nouveau mode de paiement s’appuie sur les progrès faits ces dernières années en termes de biométrie et particulièrement de reconnaissance faciale. Une caméra serait installée sur le terminal de paiement et filmerait le visage du client. Ce dernier, qui a préalablement souscrit à ce mode de paiement, voit son visage reconnu par la machine et peut valider le paiement pour confirmer son achat. Ce procédé opère en deux temps :
- Il collecte les caractéristiques uniques du visage et les transforme en un « gabarit », c’est-à-dire un modèle informatique représentant les caractéristiques du visage, unique pour chaque individu et durable dans le temps. Ce gabarit, sous réserve d’avoir un faible pourcentage d’erreur, permet donc de reconnaître une personne physique de manière quasi-certaine ;
- Il procède ensuite par comparaison avec les gabarits contenus dans son système pour assimiler le visage à une identité.
On parle bien d’une technique probabiliste car la reconnaissance faciale repose sur une estimation de correspondance entre deux gabarits.
Une avancée dans différents secteurs jusqu’au e-commerce
De nombreux domaines développent la reconnaissance faciale, que ce soit pour déverrouiller son téléphone rapidement et de manière sécurisée, ou encore pour tracer une personne recherchée via des caméras. Le dernier rapport Capgemini [Capgemini Research Institute – 2020/The art of customer-centric artificial intelligence] chiffre ces progrès et l’intensification de l’utilisation de la reconnaissance faciale dans la vie des consommateurs.
Ce rapport détaillé explique que les consommateurs se tournent de plus en plus vers les services d’intelligence artificielle plutôt que l’interaction humaine, pour des raisons de rapidité et de fiabilité. Par ailleurs, ce constat est grandement renforcé par la crise sanitaire actuelle du COVID-19, et la distanciation sociale requise amène de plus en plus de consommateurs à se tourner vers des alternatives au contact humain. Dans ce contexte, le digital, l’intelligence artificielle et la reconnaissance faciale apparaissent comme une solution séduisante. C’est ainsi que, selon le rapport, 77% des répondants déclarent utiliser plus fréquemment des interfaces sans contact pour éviter les interactions avec d’autres personnes.
Toutefois, l’utilisation du processus de reconnaissance faciale est plus récente concernant le paiement d’achats. En effet, les premiers paiements par reconnaissance faciale sont apparus en Chine en 2017, lorsque le géant KFC teste ce type de paiement à Hangzhou. Il a ensuite été étendu au pays en 2018 et 2019. Pour l’instant, cette signature biométrique en tant que mode de paiement est peu répandue, elle se limite en effet à certains pays asiatiques et n’a pas encore fait son apparition en France. De plus, elle est exclusivement concentrée dans des boutiques physiques, toutefois il est fort probable que ce paiement puisse évoluer pour toucher également le marché du e-commerce d’ici quelques années.
Contexte COVID : Le masque est considéré comme un véritable frein au développement de la reconnaissance faciale, avec des marges d’erreur allant de 5 à 50%...
Le paiement par reconnaissance faciale est-il envisageable au regard de la réglementation ?
Tout d’abord, le paiement par reconnaissance faciale est conforme à la Directive sur les services de paiements 2 ème version (DSP 2) officiellement entrée en vigueur le 13 janvier 2018. Elle rend obligatoire l'authentification forte pour les paiements de plus de 30 euros, avec entrée en vigueur retardée au 14 septembre 2019. Pour être « forte », l’authentification doit combiner l’utilisation de deux techniques d’identification parmi les trois catégories suivantes : quelque chose que l’on sait (mot de passe, code PIN), quelque chose que l’on possède (ordinateur, téléphone mobile), quelque chose que l’on est (empreinte digitale, rétine, voix). Ainsi, la biométrie et en particulier la reconnaissance faciale est envisageable pour les paiements car elle entre dans cette dernière catégorie.
Attention toutefois, la seule reconnaissance faciale est insuffisante pour les paiements de plus de 30 euros. Elle peut néanmoins suffire pour les petits paiements ou ceux ne nécessitant pas d’authentification forte. Conclusion : c'est un atout majeur pour les paiements en ligne.
Face à Face avec la CNIL
La CNIL est intervenue lors d’un rapport sur la reconnaissance faciale. Si elle ne s’oppose pas à l’utilisation de la reconnaissance faciale comme mode de paiement, elle émet toutefois des recommandations. Après avoir défini et identifié la reconnaissance faciale, la CNIL insiste et interpelle sur les risques potentiels de cette technologie nouvelle, et notamment les risques technologiques, éthiques et sociétaux. En effet, la reconnaissance faciale n’est pas anodine et utilise des données biométriques traduisant une réalité biologique et intime propre à chacun. Outre le fait que cette technologie est couteuse et probabiliste (failles possibles), elle est potentiellement disponible partout, et pourrait garder des traces, dans le temps et l’espace. Cela laisse entrevoir un potentiel de surveillance inégalé jusqu’ici, mais aussi très réducteur de nos libertés, devant entrainer un débat sociétal poussé.
La CNIL rappelle enfin le cadre juridique à respecter (RGPD, loi Informatique et Libertés), d’une part en appuyant sur le fait de poser des limites dès le départ, d’autre part en réaffirmant son rôle de conseil des pouvoirs publics. Elle insiste également sur la nécessité d’une démarche respectueuse des personnes et de leurs droits, notamment par le consentement, le contrôle, la sécurité, et la transparence de cette technique intrusive. En effet, l’article 9 du RGPD considère que le traitement des données biométriques est interdit, sauf exceptions. Cette interdiction vise à protéger les consommateurs de pratiques trop intrusives sur leurs données dites « sensibles ». Toutefois cette interdiction connaît des exceptions, telle que le consentement explicite.
Le client doit pouvoir révoquer ce consentement à tout moment. Ainsi, le recours à la reconnaissance faciale ne doit pas être imposé. Une alternative doit être proposée, c’est-à-dire un autre moyen, plus traditionnel, de pouvoir effectuer ses achats. Le RGPD exige d’évaluer ces restrictions dans une Analyse d’Impact, car la technologie derrière la reconnaissance faciale est particulièrement intrusive, et pourrait porter atteinte aux droits et libertés de l’utilisateur dont notamment la liberté d’aller et venir anonymement.
Conclusion : la reconnaissance faciale constitue un paiement simplifié mais intrusif pour la vie privée, qui nécessite donc un encadrement fort concernant la finalité, la
proportionnalité et la fiabilité du dispositif.
Source : https://itrnews.com