Comme la Société Générale, sa propriétaire, Boursorama a décidé de se lancer dans la reconnaissance faciale pour l’ouverture des comptes bancaires en ligne. La CNIL a accordé son feu vert voilà quelques jours, après avoir ausculté la conformité du mécanisme avec la loi de 1978.
La brèche ouverte par la Société Générale en septembre 2017 s’agrandit. Comme le chef de file du groupe SG, Boursorama a décidé de se lancer dans la reconnaissance faciale pour l’ouverture d’un compte en ligne. Le traitement repose là encore sur la comparaison de la photographie de la pièce d’identité avec une photographie du visage du porteur.
L’enjeu est toujours de lutter contre l’ouverture d’un compte sous une fausse identité tout en simplifiant la procédure. Le « parcours flash », futur nom de l’offre commerciale, sera l’alternative aux modalités habituelles. Il permettra d’ouvrir un compte en 24 heures au lieu des 10 à 20 jours actuels, via une application où le futur client aura le choix entre l’une et l’autre des souscriptions (flash, classique).
Après scan, les données de sa pièce d’identité sont extraites pour remplir automatiquement le formulaire. L'étape est complétée par un selfie (ou autoportrait) et achevée par un score de comparaison. En cas de réussite, le compte est ouvert dès le lendemain.
Un détecteur de vie lors de la prise de photo
Puisque le mécanisme est soumis à un processus d’autorisation auprès de l’autorité de contrôle, la CNIL a relevé dans sa délibération que « la photographie détourée de la pièce d’identité, l’autoportrait, les gabarits biométriques et le score de ressemblance ne sont conservés qu’en mémoire vive le temps de réalisation de l’opération (trois secondes en moyenne) ». Il n’y a donc ni transmission, ni conservation des modèles biométriques.
Notons aussi qu’une mesure de « détection de vie » est prévue « afin de s’assurer que l’autoportrait réalisé est celui d’une personne vivante (et non une photographie de photographie ou de masque) », mesure qui n’apparaissait pas dans la délibération Société Générale, laquelle préférait l'intervention d'un conseiller.
Après trois échecs consécutifs, l’utilisateur sera renvoyé sur la procédure classique. À ce titre, l’autorité de contrôle a souligné que l'alternative à l’ouverture « biométrique » d’un compte devait être présentée au futur client avant qu’il n’exprime son choix, et ce afin de garantir un consentement libre, spécifique et informé. De même, les personnes doivent pouvoir refuser ou retirer leur consentement à ce traitement.
Une demande qui anticipe le RGPD
La CNIL a salué l’existence d’une étude d’impact, en prévision du règlement général sur les données personnelles (voir notre dossier) : « Les modalités de mise en œuvre et mesures techniques adoptées ont permis de réduire à un niveau de vraisemblance et de gravité négligeable les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité ».
Autre point notable, des contrats ont été passés avec les sous-traitants (IBM pour l’hébergement et Scanovate pour l’outil biométrique) avec une sérieuse politique de sécurité, une traçabilité des habilitations, etc. « Les mesures de sécurité prévues sont conformes aux recommandations de la Commission en termes de minimisation des données, de chiffrement des échanges, de contrôle d’accès, de cloisonnement des données et de non-conservation des modèles biométriques, ainsi que de prévention et de gestion d’incidents » considère l’autorité, avant d'accorder son feu vert.
