Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Devant la CNIL, le Crédit du Nord et la BPCE font le pari de la reconnaissance vocale

Il était une voix...
Internet 4 min
Devant la CNIL, le Crédit du Nord et la BPCE font le pari de la reconnaissance vocale
Crédits : Eva Katalin Kondoros/iStock

La CNIL vient d’autoriser neuf banques à expérimenter pour un an un dispositif d’authentification de clients par reconnaissance vocale. Il s'agit de la BPCE d'un côté et des établissements du groupe Crédit du Nord de l'autre, en partenariat avec la Société générale.

Le déploiement des services à distance conduit le secteur bancaire à trouver de nouvelles solutions pour améliorer le confort de ses clients. En témoigne l’an passé le feu vert accordé à la Banque Postale pour mettre en œuvre Talk-to-Pay, une authentification vocale pour le paiement à distance.

Neuf autres banques ont saisi la CNIL pour se voir autoriser à déployer un an durant, un système d’authentification auprès de plusieurs clients, basé sur la reconnaissance vocale. « L’objectif de ce dispositif, résume la Commission, est de sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites ‘de sécurité’ ». 

Un test et un bilan répertoriant notamment le taux de fausses acceptations

Les banques font le pari d’un système plus simple tout en étant fiable pour protéger les précieuses données. De son côté, l’autorité de contrôle note que « ces projets satisfont les exigences (…) en matière d’expérimentation ».

Le mécanisme sera soumis au consentement préalable du client, pour une durée limitée et un périmètre restreint. Il doit respecter plusieurs garanties en matière de confidentialité.

Enfin, l’expérimentation sera suivie par un bilan qui relatera notamment le taux de participation, et le temps moyen d’authentification, les éventuels dysfonctionnements, et leurs causes, le taux de fausses acceptations ou de faux rejets. Les responsables du traitement devront alors décrire les suites envisagées : amélioration, abandon, nouvelle expérimentation, mise en œuvre à titre permanent.

BPCE, Crédit du Nord et un partenariat avec la Société générale

Quels sont les établissements concernés ? Il s’agit d’une part de la BPCE (Banque populaire, Caisse d’épargne) et d’autre part, le Crédit du Nord et toutes les sociétés du groupe : la Banque Tarneaud, la Société Marseillaise de Crédit, la Banque Laydernier, la Banque Courtois, la Banque Nuger, la Banque Kolb et la Banque Rhône-Alpes.

En partenariat avec la Société Générale, les clients de ce deuxième ensemble « pourront accéder aux services bancaires à distance en s’authentifiant par leur voix en contactant un numéro de téléphone dédié les mettant en relation avec un serveur vocal interactif spécifique du centre d’appels du groupe Crédit du Nord intitulé Prosodie ». L’utilisateur « pourra également s’authentifier par biométrie vocale lors d’un appel direct à son conseiller multimédia qui le redirigera vers le serveur vocal ».

VocalPassword de Nuance et Secure Call d'Alias Lab

Dans toutes les délibérations, le système repose sur la solution de reconnaissance vocale développée par Nuance Communications, VocalPassword, et parfois sur le dispositif Secure Call commercialisé par Alias Lab.

Quantitativement, l’expérimentation sera plus vaste au Crédit du Nord puisqu’elle visera en tout 8 000 personnes. À la BPCE, elle sera mise en œuvre auprès de 400 clients des Caisses d’Epargne Lorraine Champagne-Ardenne et Rhône-Alpes, dont 200 « qui exercent une profession libérale », histoire de prendre le pouls sur cette catégorie professionnelle.

Des gabarits conservés chiffrés à la SG ou chez Telecom Italia Sparkle Grèce

Dans son communiqué, la CNIL a tenu à rappeler sa préférence sur « les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique sur un support détenu par la seule personne concernée, ou en base de données sous une forme inexploitable, car illisible sans un secret détenu par la seule personne concernée ». Une problématique qui avait déjà été rencontrée avec le fichier biométrique TES des cartes nationales d’identité et des passeports.

Dans le partenariat Banque Populaire, la base des gabarits sera conservée chiffrée dans les locaux de la Société générale. Pour la BPCE, cette conservation aura lieu chez la société Telecom Italia Sparkle Grèce. Dans tous les cas, « l'accès à ces locaux est restreint aux seules personnes autorisées au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel ».

Une étude d'impact en mode RGPD

Pour la Commission, « ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données ». De fait, son feu vert à l’expérimentation ne présage en rien du sort à l’issu de cette année de test.

D’ailleurs, doigt sur le calendrier, l’autorité rappelle aux responsables de traitement qu’en 2018, la mise en œuvre du règlement général sur la protection des données personnelles leur imposera d’accompagner le dispositif d’une étude d’impact. L’article 35-3 du RGPD impose une telle analyse d’impact pour les traitements à grande échelle de catégories particulières de données, parmi lesquelles les données biométriques aux fins d’identifier une personne physique de manière unique. 

15 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 29/05/17 à 15:05:06

Moi ça me plaie, c'est plus facile d'obtenir un échantillon de voix que de couper un doigt (et puis c'est mieux pour la victime).

Avatar de Loufute Abonné
Avatar de LoufuteLoufute- 29/05/17 à 16:23:16

Moi aussi ça me plaie quand on me coupe un doigt :dd:

Plus sérieusement, je me demande ce que le test va donner... De mon point de vue, beaucoup de voix se ressemblent, et une même personne a d'énormes variations de voix. Curieux d'en savoir plus sur ce dont un ordinateur est capable à ce niveau-là !

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 29/05/17 à 16:39:26

Loufute a écrit :

Plus sérieusement, je me demande ce que le test va donner... De mon point de vue, beaucoup de voix se ressemblent, et une même personne a d'énormes variations de voix. Curieux d'en savoir plus sur ce dont un ordinateur est capable à ce niveau-là !

Faut pas être enrhubé ou avoir une extinction de voix :D

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 29/05/17 à 17:25:54

Donc quant tu as un rhume tu ne peux plus accéder à ton compte bancaire :bravo:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 29/05/17 à 17:27:41

Donc c'est trop compliqué de demander aux crétins du gouvernement d'appliquer les garde-fous qu'ils imposent aux banques?

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 29/05/17 à 17:29:46

ProFesseur Onizuka a écrit :

Donc quant tu as un rhume tu ne peux plus accéder à ton compte bancaire :bravo:

Toujours le même débat

Hint: quand tu as le doigt coupé tu peux quand même déverrouiller ton smartphone, et même avec une cagoule tu peux déverrouiller ton ordi

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 29/05/17 à 18:09:54

Tu utiliseras CandyVoicepour dépanner dans ce cas là.

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 29/05/17 à 18:32:08

Ah, j'ai retrouvé où je l'avais entendu : un exemple de ce que l'on peut faire en synthèse vocale actuellement

Avatar de Sans intérêt Abonné
Avatar de Sans intérêtSans intérêt- 29/05/17 à 20:41:40

Il sera intéressant de voir comment cela sera mis en place. Deux problématiques me viennent à l'esprit. D'une part, il est possible de synthétiser la voix de quelqu'un ; Adobe en a fait la démonstration avec son VoCo (à venir). D'autre part, tous les appels téléphoniques semblent désormais enregistrés pour "améliorer la qualité de service" : quid de l'identification ?

Avatar de janiko Abonné
Avatar de janikojaniko- 30/05/17 à 07:53:47

J'ai fait aussi une expérimentation dans ma boîte, sur 500 utilisateurs internes (avec déclaration CNIL aussi). Grosso modo la précision est d'environ 1 pour 100, selon les réglages. Ca peut aussi être 1 pour 1000 mais dans ce cas il y a beaucoup plus de rejets à tort ("faux négatifs", c'àd des personnes légitimes qui n'arrivent pas à s'authentifier).

Après faut voir ce qu'on veut : empêcher les fraudeurs à tout prix au risque de pénaliser les utilisateurs légitimes, ou faciliter l'expérience utilisateur au risque de laisser passer de temps en temps un fraudeur ("faux positifs", si je ne me trompe pas dans le sens des "faux").

jackjack2 a écrit :

Donc c'est trop compliqué de demander aux crétins du gouvernement d'appliquer les garde-fous qu'ils imposent aux banques?

Ca ne veut rien dire ta phrase. Le garde fou c'est la CNIL, banque ou pas, gouvernement ou pas.

bilbonsacquet a écrit :

Faut pas être enrhubé ou avoir une extinction de voix :D

On a regardé aussi ce cas de figure, être enrhumé ne change quasiment rien à l'authentification, qui se base sur plusieurs caractéristiques de la voix.

Z-os a écrit :

Ah, j'ai retrouvé où je l'avais entendu : un exemple de ce que l'on peut faire en synthèse vocale actuellement

Oui effectivement il y a beaucoup de progrès de ce côté là, tout comme dans la photographie (empreinte digitales, iris). Enregistrer une voix est très facile.

Le principal problème de la biométrie est qu'en cas de compromission (vol ou reproduction), vous ne pouvez pas changer d'empreinte ou de voix. Donc votre caractéristique est compromise à vie et sur tous les systèmes l'utilisant.

Donc la biométrie a de l'intérêt mais sûrement pas pour de l'authentification dans les systèmes informatiques (ou marginalement et en complément d'autres systèmes d'authentification). Avis personnel sans aucun lien avec la position de mon employeur.

Note : le bilan de l'expérimentation est exigé systématiquement par la CNIL.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2