La Société Générale permet dorénavant à ses clients d’ouvrir un compte totalement à distance, grâce à un dispositif de « reconnaissance biométrique faciale » par « selfie dynamique ». Ce dispositif a obtenu le feu vert de la CNIL il y a quelques mois.
« Cette nouvelle solution garantit l’identification en temps réel du futur client et remplace le premier versement », se vante la célèbre banque française au travers d’un communiqué publié jeudi 15 février.
Alors que la concurrence entre banques en ligne fait rage, la Société Générale tente de se démarquer avec un service manifestement tourné vers les jeunes n’ayant pas encore de compte bancaire (à partir duquel il faut bien souvent effectuer un premier versement à des fins notamment de vérification d’identité).
Un « score de fiabilité d’identification », mais le dernier mot revient au conseiller
Concrètement, chaque client doit, via une application pour smartphones sous iOS ou Android, remplir son dossier et transmettre ses différentes pièces justificatives (par « photos/fichiers numérisés »). La banque demande alors de prendre un « selfie dynamique », c’est-à-dire « sur plusieurs angles ».
L’objectif : procéder à une « première reconnaissance biométrique », à partir d’une confrontation avec la photo de la pièce d’identité fournie pour le dossier. Une seconde vérification est ensuite effectuée lors d’un entretien vidéo avec un conseiller.
À chacune de ces deux étapes, un algorithme de reconnaissance faciale compare « la photo du titre d’identité à différentes photos (profil, face, yeux ouverts ou fermés) prises pendant le selfie dynamique », explique la Société Générale. L’opération « donne lieu à l’établissement d’un score de fiabilité d’identification », dont les performances seraient « dix fois supérieures aux capacités de reconnaissance humaine ».
« Si les scores préalablement obtenus le nécessitent, le conseiller peut être amené à poser d’autres questions au prospect pour s’assurer de son identité au cours de cet entretien », précise de son côté la CNIL, qui a autorisé le déploiement de ce dispositif en septembre dernier.
C’est en principe cet employé qui, au regard « des résultats de ses recherches et de l’impression générale de l’entretien », valide (ou non) l’ouverture du compte.
Le dispositif obtient le feu vert de la CNIL, car proposé aux seuls clients intéressés
Si la gardienne des données personnelles a donné son feu vert, c’est parce que ces dispositifs de vérification n’entraînent « pas, à eux-seuls et de manière automatisée, un refus d’entrée en relation ». Le client conserve en effet la possibilité de se rendre en agence pour ouvrir un compte, ou peut également envoyer un chèque par courrier.
Plusieurs alternatives au traitement de données biométriques étant proposées, la CNIL a considéré que le dispositif de la Société Générale était « légitime » et garantissait le libre consentement de l’utilisateur. L’autorité administrative indépendante a néanmoins prévenu la banque que toutes ces possibilités devraient « être présentées à la personne concernée avant qu’elle n’exprime son choix et être maintenues, sans contrainte additionnelle, en tant qu’option lors de l’entrée en relation ».
Une batterie de garanties
De plus, pour obtenir l’accord de la CNIL, la Société Générale a visiblement déployé l’artillerie lourde. La gardienne des données personnelles détaille ainsi plusieurs mesures prévues afin de sécuriser le dispositif :
- « Les pièces justificatives, flux vidéos, photographies et scores sont échangés d’une manière chiffrée entre l’application mobile, les systèmes du sous-traitant et de ses prestataires et la plateforme de la Société Générale ; tous les échanges de données sont effectués via des protocoles sécurisés permettant de garantir la confidentialité des données ».
- « Absence de transmission et de conservation des modèles biométriques utilisés pour la comparaison des photographies, qui se fait en mémoire vive avec un système d’effacement automatique ».
- « Absence de conservation des données biométriques dans le fichier de preuve ; absence de conservation des pièces d’identité par le système de vérification d’authenticité, laquelle se fait en mémoire vive ».
- « Les personnes concernées peuvent exercer leur droit d’accès afin de se voir transmettre le fichier de preuve contenant les scores d’authenticité et de comparaison biométrique, seules données qui ne sont pas automatiquement supprimées une fois la procédure de comparaison biométrique achevée. »
- « Une politique de gestion des habilitations et des accès encadre fortement l’accès au serveur biométrique du sous-traitant. Ainsi, une fois que son accès est validé par son responsable, l’utilisateur doit disposer d’un token physique (clé USB), fourni par son responsable et porteur d’un certificat logiciel relié à l’annuaire des utilisateurs, ainsi que d’un compte administrateur lui donnant accès aux bastions d’administration. »
Avec ce service, la Société Générale espère lutter contre la fraude et surtout conquérir de nouveaux clients (le délai de validation d’ouverture de compte devant être fortement réduit). La banque « vise 30 % d’ouvertures de comptes initiées en ligne » d’ici 2020, contre 10 % actuellement.
