Dans un communiqué du 29 mai 2017, la Cnil indique avoir autorisé neuf établissements bancaires, dont le crédit du Nord et la BPCE, à mettre en œuvre, à titre expérimental, un dispositif d’authentification des clients à distance par reconnaissance vocale.
La biométrie s’installe dans de nombreuses sphères de notre quotidien, et le secteur bancaire ne fait pas exception. Après Talk To Pay, une biométrie vocale généralisée à tous les clients de la Banque Postale par la Cnil en février 2016, plusieurs banques françaises ont à leur tour saisi la Cnil afin de pouvoir s’appuyer sur cette technologie de reconnaissance vocale.
Plus précisément, neuf établissements bancaires souhaitaient mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité l’expérimentation de systèmes d’authentification de leurs clients par reconnaissance vocale sur les services de banque à distance. Pour certaines banques, la demande d’autorisation ne concernait que la mise en place du système sur leur serveur téléphonique, pour d’autres, elle portait sur tous les services proposés à distance.
En application de l’article 25-I 8° de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et libertés », la Cnil a rendu neuf délibérations en date du 27 avril 2017 autorisant ces établissements à mettre en œuvre un traitement expérimental automatisé comportant des données biométriques nécessaires au contrôle de l’identité des personnes. La Commission considère que la finalité du traitement en question est déterminée, explicite, légitime, que son fondement est proportionné et qu’il satisfait donc aux exigences légales, à savoir :
- La soumission du traitement au consentement préalable, spécifique, libre et éclairé de la personne concernée ;
- Une durée limitée – Le traitement est autorisé pour une durée d’un an ;
- Un périmètre restreint – Tous les clients des banques ne sont pas concernés par le traitement. Ainsi, pour certaines banques, il s’agit des clients exerçant une profession libérale, pour d’autres, il s’agit des clients ayant accepté de faire partie du panel de volontaires de leur banque, ou des premiers volontaires etc. ;
- Des garanties en matière de confidentialité des données ;
- L’engagement de présenter un bilan à l’issue du traitement.
Les clients auprès desquels le dispositif sera testé pourront donc s’authentifier grâce à leur voix en prononçant une « phrase de passe » afin d’accéder à leur compte bancaire en ligne (via leur navigateur ou une application mobile) ou par téléphone. Dans la mesure où il s’agit d’expérimentations, la Cnil précise que les conditions dans lesquelles ces traitements sont autorisés ne présagent nullement de celles qui pourraient être mises en œuvre s’ils venaient à se pérenniser.
Pour la Cnil, ces expérimentations constituent une opportunité de tester le niveau global de risques en matière de sécurité et de confidentialité des données. Pour les établissements bancaires, l’expérimentation permettra de sécuriser les opérations faites à distance en couplant authentification biométrique des clients et saisie de leur identifiant habituel. En outre, les banques pourront évaluer l’appétence des clients pour ce dispositif, ainsi que sa fiabilité et ses performances.
Ces neuf délibérations démontrent que le renforcement de la législation relative aux données personnelles ne constitue pas un frein à l’autorisation de traitements relatifs à des données biométriques. A la fin de chaque autorisation, la Cnil rappelle tout de même qu’à partir du 25 mai 2018, date d’entrée en vigueur du règlement (UE) n°2016/679 relatif à la protection des données (RGPD), tout projet de cette nature devra préalablement faire l’objet d’une analyse d’impact sur la vie privée, une évaluation permettant de démontrer la conformité d’un traitement de données à caractère personnel à la réglementation européenne, qui pourra lui être soumise.