La CNIL autorise l’expérimentation de dispositifs biométriques de reconnaissance vocale par des établissements bancaires

29 mai 2017

Afin de permettre la réalisation d’expérimentations, notamment pour évaluer l’intérêt du public pour ces services, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale.

Débloquer son smartphone, accéder à son lieu de travail, la biométrie s’installe dans de nombreuses sphères de notre quotidien. Parmi ces dispositifs, la reconnaissance vocale est particulièrement prisée pour sa simplicité d’utilisation.

Comme d’autres secteurs, les établissements bancaires souhaitent s’appuyer sur ces technologies pour renforcer la sécurité des transactions et offrir de nouveaux outils à leurs clients.

Plusieurs d’entre eux ont saisi la CNIL d’une demande d’autorisation pour la mise en place d’une solution d’authentification alternative, par reconnaissance vocale durant un an et auprès d’une population désignée.

L’objectif de ce dispositif est de sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité ». Leurs clients pourront ainsi s’authentifier par leur voix, en prononçant une phrase de passe, pour accéder à leur compte bancaire, en ligne ou par téléphone.

Ces expérimentations visent à tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci. Du point de vue de la protection des données, la CNIL considère que ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données.

Ces projets satisfont les exigences de la CNIL en matière d’expérimentation, à savoir :

  • la soumission au consentement préalable de la personne concernée ;
  • une durée limitée ;
  • un périmètre restreint ;
  • des garanties en matière de confidentialité des données ;
  • l’engagement de présenter un bilan à son issue.

Dans ces conditions, neuf établissements bancaires ont été autorisés à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale.

La CNIL a toutefois souligné que les conditions dans lesquelles ces expérimentations sont autorisées ne présage nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif.

Pour rappel, elle préconise à cet égard de privilégier les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique :

  • sur un support détenu par la seule personne concernée,
  • ou en base de données sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée.

En outre, en vue de l’entrée en vigueur du Règlement général relatif à la protection des données, la CNIL rappelle que tout projet de cette nature devra préalablement faire l’objet d’une analyse d’impact relative à la protection des données, qui pourra lui être soumise.

Texte reference

Délibérations

Les mots clés associés à cet article