Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Après la Société Générale, Boursorama se lance dans la reconnaissance faciale

Bas les masques
Droit 3 min
Après la Société Générale, Boursorama se lance dans la reconnaissance faciale
Crédits : Erikona/iStock

Comme la Société Générale, sa propriétaire, Boursorama a décidé de se lancer dans la reconnaissance faciale pour l’ouverture des comptes bancaires en ligne. La CNIL a accordé son feu vert voilà quelques jours, après avoir ausculté la conformité du mécanisme avec la loi de 1978. 

La brèche ouverte par la Société Générale en septembre 2017 s’agrandit. Comme le chef de file du groupe SG, Boursorama a décidé de se lancer dans la reconnaissance faciale pour l’ouverture d’un compte en ligne. Le traitement repose là encore sur la comparaison de la photographie de la pièce d’identité avec une photographie du visage du porteur.

L’enjeu est toujours de lutter contre l’ouverture d’un compte sous une fausse identité tout en simplifiant la procédure. Le « parcours flash », futur nom de l’offre commerciale, sera l’alternative aux modalités habituelles. Il permettra d’ouvrir un compte en 24 heures au lieu des 10 à 20 jours actuels, via une application où le futur client aura le choix entre l’une et l’autre des souscriptions (flash, classique).

Après scan, les données de sa pièce d’identité sont extraites pour remplir automatiquement le formulaire. L'étape est complétée par un selfie (ou autoportrait) et achevée par un score de comparaison. En cas de réussite, le compte est ouvert dès le lendemain.

Un détecteur de vie lors de la prise de photo

Puisque le mécanisme est soumis à un processus d’autorisation auprès de l’autorité de contrôle, la CNIL a relevé dans sa délibération que « la photographie détourée de la pièce d’identité, l’autoportrait, les gabarits biométriques et le score de ressemblance ne sont conservés qu’en mémoire vive le temps de réalisation de l’opération (trois secondes en moyenne) ». Il n’y a donc ni transmission, ni conservation des modèles biométriques. 

Notons aussi qu’une mesure de « détection de vie » est prévue « afin de s’assurer que l’autoportrait réalisé est celui d’une personne vivante (et non une photographie de photographie ou de masque) », mesure qui n’apparaissait pas dans la délibération Société Générale, laquelle préférait l'intervention d'un conseiller. 

Après trois échecs consécutifs, l’utilisateur sera renvoyé sur la procédure classique. À ce titre, l’autorité de contrôle a souligné que l'alternative à l’ouverture « biométrique » d’un compte devait être présentée au futur client avant qu’il n’exprime son choix, et ce afin de garantir un consentement libre, spécifique et informé. De même, les personnes doivent pouvoir refuser ou retirer leur consentement à ce traitement.

Une demande qui anticipe le RGPD

La CNIL a salué l’existence d’une étude d’impact, en prévision du règlement général sur les données personnelles (voir notre dossier) : « Les modalités de mise en œuvre et mesures techniques adoptées ont permis de réduire à un niveau de vraisemblance et de gravité négligeable les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité ».

Autre point notable, des contrats ont été passés avec les sous-traitants (IBM pour l’hébergement et Scanovate pour l’outil biométrique) avec une sérieuse politique de sécurité, une traçabilité des habilitations, etc. « Les mesures de sécurité prévues sont conformes aux recommandations de la Commission en termes de minimisation des données, de chiffrement des échanges, de contrôle d’accès, de cloisonnement des données et de non-conservation des modèles biométriques, ainsi que de prévention et de gestion d’incidents » considère l’autorité, avant d'accorder son feu vert.

30 commentaires
Avatar de scandinave INpactien
Avatar de scandinavescandinave- 05/03/18 à 11:47:43

Je suis le premier surpris. Le fait qu'il ne garde aucune des données au delà de la validation est le point que me ferai utiliser ce genre de dispositif pour gagner du temps

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 05/03/18 à 12:07:51

Il n’y a donc ni transmission, ni conservation des modèles biométriques.

sur la vie d'ma mère c'est la vérité !

Et puis un jour, on aura une news avec les mots hacker, faille, prestataire, erreur, architecture, ... et tout le monde fera comme si c'était normal et prévisible.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 05/03/18 à 12:31:03

J'ai pensé pareil. Genre "c'est juste un serveur de test avec des données de prod,  et on avait demandé au stagiaire de le déconnecter"...

Il y a autre chose qui me fait tiquer. Ce sont des sous-traitants qui gèrent la partie sensible (la biométrie). On parle de retrait du consentement au traitement, mais le client n'est en contact qu'avec Boursorama. Déjà quand la relation est directe, c'est compliqué à faire appliquer, alors s'il faut leur demander de contacter un sous-traitant, qui aura peut-être disparu ou changé au moment de la demande, ça limite les chances d'obtenir gain de cause.

On verra si le RGPD et son "référent données personnelles" sera bien appliqué...

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 05/03/18 à 13:23:47

L'ouverture de compte à la tête du client, c'est la norme dans ce milieu :fumer:

Avatar de Nozalys Abonné
Avatar de NozalysNozalys- 05/03/18 à 13:40:49

Avec un beau calcul du ratio de pourcentage de couleurs claire par rapport aux couleurs sombres et on obtiendra le mécanisme de la reconnaissance faciale pour avoir sa carte du stylo.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 05/03/18 à 14:02:20

A rapprocher de la news sur la suppression de l'arrière-plan en temps réel, pour être certain de bien capturer la tête du client

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 05/03/18 à 15:40:41

Pour la millième fois, comment on fait si l'empreinte faciale est compromise ? on change de tronche ?

Les modalités de mise en œuvre et mesures techniques adoptées ont permis de réduire à un niveau de vraisemblance et de gravité négligeable les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité

c'est quoi un "niveau de vraisemblance et de gravité ?" c'est quoi sur une échelle de 0 à 10 le "négligeable" ? Ils se foutent de notre gueule encore une fois.

Je travaille comme sous-traitant pour des banques françaises, et je connais les mécanismes de sécurité en interne, ça fait tellement peur que je rajoute des couches de sécu de mon coté. Ils ont passé plus de temps à éplucher mes CGV pendant des mois qu'a auditer le code de production :-/

Bref, j'espère qu'on ne sera pas à terme obligés d'utiliser l'ejac faciale pour se faire reconnaître par leur binz...

Avatar de seb01380 Abonné
Avatar de seb01380seb01380- 05/03/18 à 15:47:49

Perso j'aurais préféré qu'il lance l'encaissement des chèques sur la base d'une photo. Il me semble que cela fonctionne déjà aux USA.

Avatar de Faith INpactien
Avatar de FaithFaith- 05/03/18 à 15:53:32

boogieplayer a écrit :

Pour la millième fois, comment on fait si l'empreinte faciale est compromise ? on change de tronche ?

Réaction générique, mais très peu adaptée au sujet de la news.
Si ton empreinte faciale est compromise, et bien quelqu'un pourra ouvrir un compte à ton nom, sous réserve qu'il dispose d'une copie de ta carte d'identité.
C'est à dire que c'est... exactement comme actuellement.

 Peux-tu donc préciser les risques que tu évoques ?

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 05/03/18 à 15:59:53

Ben je suppose qu'à terme tu ne pourras plus jamais ouvrir un compte en banque dans n'importe quelle banque

Il n'est plus possible de commenter cette actualité.
Page 1 / 3