La Banque Postale vient d’officialiser le lancement de Talk to pay, un système d’authentification par reconnaissance vocale destiné notamment à sécuriser les achats sur Internet.
Après cinq années de tests, l’établissement bancaire lance aujourd’hui la version commerciale de son système biométrique Talk to pay. Comme annoncé par nos confrères de franceinfo, la formule, ouverte à l’ensemble de ses clients, repose sur un cryptogramme aléatoire généré à chaque opération de paiement.
Ce cryptogramme « n’est communiqué qu’après authentification du client qui reçoit un appel sur son téléphone mobile et prononce une phrase d’authentification » du type « Bonjour, prénom, nom, je m’identifie par ma voix ».
Dis moi qui tu es, je t'autoriserai à payer
La reconnaissance vocale fait ensuite son œuvre pour autoriser la transaction. Si le client est bien identifié comme porteur de la carte, une extension « génère le cryptogramme à usage unique de la carte et remplit automatiquement le formulaire de paiement : le numéro de la carte, sa date de fin de validité et le CVV [Card Validation Value, NDLR] à usage unique sont renseignés ».
Dernière étape : la validation du paiement qui termine ainsi l’achat. Ce système alternatif fonctionne sur navigateur (dès Internet Explorer 9, Chrome 40, Firefox 34, Safari 5.1, Opera 19) et est intégré nativement sur « Mes Paiements », l’application maison sur App Store et Google Play.
10 euros par an, 5 euros pour les 18-25 ans
Utilisé, il désactive automatiquement le cryptogramme visuel rendant impossible un paiement avec le porteur frauduleux de la carte. Le service commercial est proposé sur abonnement à 10 euros par an, réduit à 5 euros pour les 18-25 ans.
La Banque postale est la première à proposer dans son bouquet d’offres une telle solution à ses clients. Cependant, d’autres se sont engouffrés dans la brèche. Le Crédit du Nord et la BPCE ont lancé une vague de demandes d’autorisation pour mener à bien des tests similaires, en partenariat avec la Société Générale.
La CNIL a donné cette fois encore son feu vert non sans rappeler que d’ici l’année prochaine, ces dispositifs biométriques devront être épaulés par une solide étude d’impact.
L'effet du réglement général sur la protection des données personnelles
Une conséquence du règlement général sur la protection des données personnelles. Son article 35-3 du RGPD, combiné avec l’article 9 impose une telle analyse d’impact pour les traitements à grande échelle de catégories particulières de données, parmi lesquelles « le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique ».
Cette analyse d’impact devra notamment définir « une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités » ou encore « une évaluation des risques pour les droits et libertés des personnes concernées ». Particulièrement, les responsables de traitement devront détailler la liste des mesures envisagées pour faire face aux risques.