Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Border Security Conference & Exhibition 2019
Border Management and Technologies Summit Europe 2019
Identity Week
INTERPOL World 2019
International Police Expo

La Cnil valide le système d’identification de Boursorama

Cette semaine, Isabelle Cantero, avocat au sein du cabinet Caprioli & Associés, aborde la question de l'ouverture de compte bancaire par reconnaissance faciale au travers du cas de Boursorama, dont le procédé d’identification vient d'être validé par la Cnil (Commission nationale de l'informatique et des libertés).

Reconnaissance faciale : la Cnil valide le système d’identification de Boursorama

Reconnaissance faciale : la Cnil valide le système d’identification de Boursorama © DR

L’utilisation de procédés innovants ne cesse de croître. Objectif affiché : faciliter les démarches quotidiennes, fiabiliser les procédures de souscription ou d’inscription diverses et variées, gagner du temps ...  et dans cette course aux innovations impactant le marché, le secteur bancaire n’est pas en reste …

Une ouverture de compte sous 24h

Boursorama a souhaité lancer un parcours "flash" pour souscrire un compte à distance via une application téléchargeable dédiée et à usage unique reposant sur un système d’identification par reconnaissance faciale des prospects.
Première étape de l’ouverture de compte : la communication des renseignements et justificatifs nécessaires (titre d’identité, coordonnées, résidence fiscale). Deuxième étape : l’identification du prospect qui s’appuie sur une comparaison opérée par l’application entre la photographie officielle de la pièce d’identité qu’il a fourni et l’autoportrait qu’il réalise sur son terminal au moment de l’entrée en relation. Dans ce contexte, l’ouverture d’un compte bancaire pourra être réalisée dans un délai de 24 h, contrairement à la procédure classique (10 à 20 jours).

Second feu vert de la Cnil

Ce n’est pas la première fois qu’une banque recourt à la biométrie comme nouveau procédé d’identification de ses prospects. De fait, la Société Générale, société mère de Boursorama, avait déjà obtenu de la CNIL l’autorisation de mettre en œuvre un système d’identification par reconnaissance faciale à partir d’une application mobile [délibération du 14 septembre 2017] Ce dispositif reposait sur la vérification de l’authenticité des documents transmis par le prospect (score de vraisemblance), la comparaison entre le "selfie dynamique" réalisé par le prospect sur son portable et la photographie figurant sur la pièce d’identité communiquée (premier score de probabilité de correspondance), et, dans un troisième temps, une nouvelle comparaison entre la photographie figurant sur la pièce d’identité communiquée et les photographies issues de l’entretien vidéo du prospect avec le conseiller de la banque (second score de probabilité de correspondance). L’ouverture de compte était in fine validée par le conseiller bancaire en fonction des trois scores, de la vérification des pièces et de son impression générale liée à l’entretien vidéo.

Quid de Boursorama ?

Boursorama a décidé de soumettre à la CNIL son système d’identification par reconnaissance faciale des prospects en ligne. La CNIL a répondu positivement à la demande d’autorisation dans une délibération n°2018-051 du 15 février 2018. Concrètement, le dispositif validé s’appuie sur la communication des diverses informations requises pour ouvrir un compte, dont la pièce d’identité du prospect. Ce dernier est alors invité à réaliser un autoportrait qui fera l’objet d’une comparaison biométrique avec la photographie officielle, l’objectif étant de produire un score de ressemblance entre 0 et 1.

En cas de validation de l’identité du prospect, le prospect pourra donc choisir le produit bancaire qu’il souhaite, procédera à la signature électronique de sa demande d’ouverture de compte et recevra dans les 24 heures une URL le dirigeant vers son espace client. Ce qui est donc novateur et différent du système proposé par la Société générale est que la décision est ici entièrement automatisée. A ce titre, et conformément à l’article 22 du Règlement général sur la protection des données (RGPD), la CNIL relève que les prospects doivent donner leur consentement avant toute utilisation du service et qu’ils peuvent le retirer à tout moment du processus et s’orienter vers un parcours de souscription en ligne classique.

Quelles garanties ?

La mise en œuvre d’un tel système d’identification par reconnaissance faciale nécessite l’adoption de garanties appropriées pour la sécurité et la confidentialité des données concernées. A titre principal, la CNIL relève que les gabarits générés afin de procéder à la comparaison des deux photographies sont conservés en mémoire vive, "uniquement le temps du traitement du dispositif de comparaison, soit 3 secondes en moyenne". Seul le score sur la validité de l’authentification est conservé pour permettre la poursuite du parcours.

De plus, en cas d’interruption du processus d’entrée en relation, la purge des données est automatique. Par ailleurs, l’accès aux données est strictement encadré pour le personnel de Boursorama et celui de ses sous-traitants. Enfin, Boursorama s’est engagée à prendre plusieurs mesures de sécurité compte tenu de la spécificité du traitement mis en œuvre dont la mise en place d’une mesure de "détection de vie" permettant de s’assurer que l’autoportrait réalisée est celui d’une personne vivante et le chiffrement des données sensibles lors des échanges avec les sous-traitants.

Une anticipation du RGPD

Pour rappel, "les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes" sont soumis à autorisation spécifique de la CNIL en vertu de l’art. 25-I-8° de la Loi "Informatique et Libertés" modifiée. Si cette formalité disparaît avec le RGPD, il n’en reste pas moins que le Règlement confirme le principe d’interdiction de traiter librement des données biométriques (art. 9 du RGPD), principe également repris par l’actuel . Sésames de la mise en œuvre de ce type de traitement : la nécessité de recueillir le consentement de la personne concernée (art. 9-2-a) du RGPD) et l’obligation faite au responsable de traitement de réaliser une analyse d’impact (art. 35 du RGPD).

C’est ce qu’a fait Boursorama

Boursorama a remis à la CNIL l’étude d’impact sur la vie privée permettant de déterminer les risques présentés par son système d’identification par reconnaissance faciale et également de définir les mesures techniques à adopter. Compte tenu des risques identifiés pour ce dispositif (fuites ou pertes des données, indisponibilité du dispositif et usurpation d’identité), la CNIL a estimé que les mesures adoptées par Boursorama permettaient de réduire à "un niveau de vraisemblance et de gravité négligeable les impacts" sur la vie privée des personnes concernées. Notons que la CNIL a aussi tenu compte de la documentation fournie à l’appui de la demande d’autorisation dont la PSSI de Boursorama ainsi que les engagements contractuels avec les sous-traitants "rendant obligatoire la définition de politiques et des procédures écrites, définies et appliquées, concernant la traçabilité des habilitations et accès, ainsi que la sécurité logique et physique des équipements et réseaux" et autorisant Boursorama à mener des audits de sécurité.

L’autorisation de la CNIL pourrait attester du fait qu’on est déjà le 25 mai 2018 ou du moins que le RGPD est déjà applicable. Ce n’est pas une surprise puisqu’au-delà des procédures de mise en conformité (cartographie des traitements, gouvernance …), le RGPD impose également de modifier les mentions d’informations à l’attention des personnes concernées par un traitement, les mentions contractuelles avec partenaires (en particulier les sous-traitants) et de se doter d’une documentation, de toute la documentation adaptée… Que d’écrits donc ! A vous livrer la citation du moment sur le RGPD : "L'écriture est une aventure. Au début c'est un jeu, puis c'est une amante, ensuite c'est un maître et ça devient un tyran", Winston Churchill

Isabelle CANTERO, Avocat associé, Responsable du pôle Vie privée et protection des données personnelles, Caprioli & Associés, société d’avocats, membre du réseau JurisDéfi.

Les avis d'experts sont écrits sous l'entière responsabilité de leur auteur et n'engagent en rien la rédaction de L'Usine Digitale.

Source : https://www.usine-digitale.fr

 

Formation conseil en biométrie

Biometrie-Online.Net vous propose des actions de
Formation - Conseil sur mesure en intra.

Ces sessions permettent aux participants d'acquérir les bases de la biométrie, afin de comprendre les solutions biométriques mises en œuvre dans leur secteur d’activité.

Formation Conseil Biométrie Biométrique

À l’issue des actions de Formation - Conseil, les participants seront capables de :

  • Connaître le contexte, le marché, les enjeux, la place de la biométrie dans la sécurité et la gestion des identités.
  • Comprendre le fonctionnement des technologies biométriques, terminologie, avantages et limites.
  • Appliquer la règlementation.
  • Lister les problématiques du déploiement, propre à chaque type d’application.

Lire la suite

Le réseau social de la biométrie

Vous avez un intérêt pour la biométrie.

Vous pouvez adhérer au groupe « Biometrics Network & Forum » sur Linkedin.Plus

de 10 000 membres, des utilisateurs finaux, des fournisseurs, des chercheurs vous attendent.

En tant que membre du groupe, vous pouvez lire et soumettre des articles sur la biométrie, nouveaux produits, emplois, nouvelles de l'industrie et des événements.

Cliquez ici pour rejoindre le groupe.

LinkedIn 648x200

Il y a également des sous-groupes par modalité.

 

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.