Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Authentification vocale : la CNIL autorise 9 banques à tester le système

Publié le par

La CNIL s’est toujours montrée très réticente face aux procédés biométriques utilisés par les entreprises privées afin d’authentifier leurs clients, ou les membres du personnel. Elle vient d’ouvrir une porte. Légèrement, certes, mais l’évolution est significative. Elle a autorisé 9 banques à tester un système biométrique fondé sur la voix. À ce stade, il ne s’agit que d’un test, mais il indique de toute évidence une direction.

La voix comme méthode d’authentification

Imaginez dire « bonjour, c’est moi » à votre smartphone et celui-ci, reconnaissant votre voix, vous ouvrirait l’accès à votre compte bancaire pour réaliser des opérations de paiement. La même chose pourrait être imaginée pour à peu près n’importe quel site Web marchand sur lequel vous vous rendez régulièrement.

Votre voix est, par définition, toujours avec vous (à moins d’avoir une extinction de voix momentanée). Il n’y a pas besoin de lecteur spécifique : le processus est logiciel. On peut s’authentifier à partir d’un téléphone prêté ou partagé, voire à partir d’un téléphone public (pour peu que vous en trouviez encore un).

La voix fait partie des données biométriques. C’est une donnée particulièrement prisée pour les méthodes d’authentification précisément parce qu’elle est facile à gérer, sous le contrôle constant de la personne concernée et ne requiert aucun lecteur spécifique à l’exception du processus largement logiciel destiné à analyser et reconnaitre la voix en question.

Cette donnée est-elle fiable pour autant ? On a tous vu des films dans lesquels la voix est piratée : un ordinateur arrive à reproduire la voix d’une personne déterminée, ou alors à partir de montages de petits mots juxtaposés, un pirate recrée la phrase magique d’authentification et ouvre les coffres d’une banque. Sans surprise, les promoteurs de cette technologie prétendent que ce genre de piratage relève de l’industrie cinématographique bien plus que de la réalité.

La CNIL réticente

La CNIL s’est toujours montré extrêmement réticente. Cette réticence ne vise pas spécifiquement l’identification vocale : elle vise de façon générale tous les procédés biométriques. La CNIL considère traditionnellement que les risques sont tellement importants qu’il faut se montrer non seulement prudent, mais même extrêmement prudent.

Pour autant, les choses ne sont pas figées.

L’autorité a ouvert une première porte en septembre 2016 concernant le contrôle des accès sur le lieu de travail, mettant fin à plusieurs années de doctrine fondée sur la distinction entre les caractéristiques biométrique dites « à traces » et « sans traces ». En résumé : l’empreinte digitale est une donnée à trace puisque le fait de toucher un objet laisse la marque de l’empreinte sur celui-ci et pourrait donc être captée à l’insu de la personne, tandis que le réseau sanguin particulier d’un individu dans la paume de sa main est sans trace puisqu’il faut avoir la main proprement dite pour la passer au scanner de lecture. En 2016, la CNIL a considéré que « le perfectionnement des outils de captation accessibles à bas coût, permettant de collecter les images du visage, de la voix et même du réseau veineux, a conduit la CNIL a constater que désormais, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes. La distinction « traces » / « sans traces » n’est donc  plus pertinente contrairement à celle reposant sur le type de stockage (dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique ou non) ». Le 30 juin 2016, la CNIL a adopté deux  autorisations uniques qui encadrent désormais l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées, et qui distinguent  :

  • les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052)
  • les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).

C’est un raisonnement similaire qui fut appliqué par la CNIL en mars 2017 au sujet des données biométriques utilisées pour activer un smartphone : qui  a le contrôle ? La CNIL expliquait alors qu’il existe deux possibilités :

  • « Votre gabarit biométrique est uniquement stocké localement, au sein de l’appareil. Par exemple, si vous utilisez le système d’authentification de votre smartphone Android ou iPhone, ni les applications, ni le constructeur du téléphone et/ou du système d’exploitation ne peut accéder à votre gabarit. De plus, cette fonctionnalité ne peut être utilisée que pour une seule et même finalité : celle de reconnaitre le possesseur du smartphone. Cette donnée ne peut être extraite de l’appareil ou recoupée avec d’autres.
  • Votre empreinte est enregistrée dans un Cloud, manipulable par des applications voir récupérable par un tiers. La personne concernée n’a donc pas la maitrise du gabarit biométrique. »

Le but de cette doctrine est d’éviter autant que possible la création d’une méga base de données contenant des identifications biométriques. En stockant la donnée sur un support que la personne concernée conserve sous sa maîtrise, on opère un éclatement et donc une diminution du risque. Les débats relatifs au passeport biométrique ou aux fichiers policiers contenant des données de ce type ont bien montré la peur qu’engendre la concentration de données aussi intrusives.

Une expérience pilote

La CNIL vient d’annoncer avoir donné son accord pour une expérience pilote.

Elle explique que plusieurs établissements bancaires l’ont saisie d’une demande d’autorisation pour la mise en place d’une solution d’authentification alternative, par reconnaissance vocale, durant un an et auprès d’une population désignée.

L’objectif de ce dispositif est de sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité ». Leurs clients pourront ainsi s’authentifier par leur voix, en prononçant une phrase de passe, pour accéder à leur compte bancaire, en ligne ou par téléphone.

Ces expérimentations visent à tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci. Du point de vue de la protection des données, la CNIL considère que ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données.

Ces projets satisfont les exigences de la CNIL en matière d’expérimentation, à savoir :

  • la soumission au consentement préalable de la personne concernée ;
  • une durée limitée ;
  • un périmètre restreint ;
  • des garanties en matière de confidentialité des données ;
  • l’engagement de présenter un bilan à son issue.

Dans ces conditions, neuf établissements bancaires ont été autorisés à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale.

La CNIL a toutefois souligné que les conditions dans lesquelles ces expérimentations sont autorisées ne présage nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif.

Pour rappel, elle préconise à cet égard de privilégier les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique :

  • sur un support détenu par la seule personne concernée,
  • ou en base de données sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée.

En outre, en vue de l’entrée en vigueur du Règlement général relatif à la protection des données, la CNIL rappelle que tout projet de cette nature devra préalablement faire l’objet d’une analyse d’impact relative à la protection des données, qui pourra lui être soumise.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK