La CNIL vient d’autoriser neuf banques à expérimenter pour un an un dispositif d’authentification de clients par reconnaissance vocale. Il s'agit de la BPCE d'un côté et des établissements du groupe Crédit du Nord de l'autre, en partenariat avec la Société générale.
Le déploiement des services à distance conduit le secteur bancaire à trouver de nouvelles solutions pour améliorer le confort de ses clients. En témoigne l’an passé le feu vert accordé à la Banque Postale pour mettre en œuvre Talk-to-Pay, une authentification vocale pour le paiement à distance.
Neuf autres banques ont saisi la CNIL pour se voir autoriser à déployer un an durant, un système d’authentification auprès de plusieurs clients, basé sur la reconnaissance vocale. « L’objectif de ce dispositif, résume la Commission, est de sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites ‘de sécurité’ ».
Un test et un bilan répertoriant notamment le taux de fausses acceptations
Les banques font le pari d’un système plus simple tout en étant fiable pour protéger les précieuses données. De son côté, l’autorité de contrôle note que « ces projets satisfont les exigences (…) en matière d’expérimentation ».
Le mécanisme sera soumis au consentement préalable du client, pour une durée limitée et un périmètre restreint. Il doit respecter plusieurs garanties en matière de confidentialité.
Enfin, l’expérimentation sera suivie par un bilan qui relatera notamment le taux de participation, et le temps moyen d’authentification, les éventuels dysfonctionnements, et leurs causes, le taux de fausses acceptations ou de faux rejets. Les responsables du traitement devront alors décrire les suites envisagées : amélioration, abandon, nouvelle expérimentation, mise en œuvre à titre permanent.
BPCE, Crédit du Nord et un partenariat avec la Société générale
Quels sont les établissements concernés ? Il s’agit d’une part de la BPCE (Banque populaire, Caisse d’épargne) et d’autre part, le Crédit du Nord et toutes les sociétés du groupe : la Banque Tarneaud, la Société Marseillaise de Crédit, la Banque Laydernier, la Banque Courtois, la Banque Nuger, la Banque Kolb et la Banque Rhône-Alpes.
En partenariat avec la Société Générale, les clients de ce deuxième ensemble « pourront accéder aux services bancaires à distance en s’authentifiant par leur voix en contactant un numéro de téléphone dédié les mettant en relation avec un serveur vocal interactif spécifique du centre d’appels du groupe Crédit du Nord intitulé Prosodie ». L’utilisateur « pourra également s’authentifier par biométrie vocale lors d’un appel direct à son conseiller multimédia qui le redirigera vers le serveur vocal ».
VocalPassword de Nuance et Secure Call d'Alias Lab
Dans toutes les délibérations, le système repose sur la solution de reconnaissance vocale développée par Nuance Communications, VocalPassword, et parfois sur le dispositif Secure Call commercialisé par Alias Lab.
Quantitativement, l’expérimentation sera plus vaste au Crédit du Nord puisqu’elle visera en tout 8 000 personnes. À la BPCE, elle sera mise en œuvre auprès de 400 clients des Caisses d’Epargne Lorraine Champagne-Ardenne et Rhône-Alpes, dont 200 « qui exercent une profession libérale », histoire de prendre le pouls sur cette catégorie professionnelle.
Des gabarits conservés chiffrés à la SG ou chez Telecom Italia Sparkle Grèce
Dans son communiqué, la CNIL a tenu à rappeler sa préférence sur « les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique sur un support détenu par la seule personne concernée, ou en base de données sous une forme inexploitable, car illisible sans un secret détenu par la seule personne concernée ». Une problématique qui avait déjà été rencontrée avec le fichier biométrique TES des cartes nationales d’identité et des passeports.
Dans le partenariat Banque Populaire, la base des gabarits sera conservée chiffrée dans les locaux de la Société générale. Pour la BPCE, cette conservation aura lieu chez la société Telecom Italia Sparkle Grèce. Dans tous les cas, « l'accès à ces locaux est restreint aux seules personnes autorisées au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel ».
Une étude d'impact en mode RGPD
Pour la Commission, « ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données ». De fait, son feu vert à l’expérimentation ne présage en rien du sort à l’issu de cette année de test.
D’ailleurs, doigt sur le calendrier, l’autorité rappelle aux responsables de traitement qu’en 2018, la mise en œuvre du règlement général sur la protection des données personnelles leur imposera d’accompagner le dispositif d’une étude d’impact. L’article 35-3 du RGPD impose une telle analyse d’impact pour les traitements à grande échelle de catégories particulières de données, parmi lesquelles les données biométriques aux fins d’identifier une personne physique de manière unique.
