Banque et biométrie : la CNIL ouvre la voix pour BPCE et Crédit du Nord

D’un côté, BPCE ; de l’autre, Société Générale, par l’intermédiaire des huit banques régionales de sa filiale Crédit du Nord.

Les deux groupes ont obtenu le feu vert de la CNIL pour tester l’authentification de leurs clients par reconnaissance vocale.

L’autorité administrative indépendante a rendu, le 27 avril dernier, une série de délibérations dans ce sens, autorisant une mise en œuvre « à titre expérimental, pour une durée de 12 mois, […] sur un serveur de centre d’appels ».

Méthode alternative

Conformément aux consignes qui lui sont données, BPCE mènera une expérimentation en périmètre restreint. En l’occurrence, auprès de quelque 400 clients répartis entre les Caisses d’Épargne Lorraine Champagne-Ardenne (les membres du panel « LAB sociétaire ») et Rhône-Alpes (condition : exercer une profession libérale).

L’accès aux services bancaires à distance pourra se faire soit en activant l’application mobile dédiée au projet d’expérimentation, soit en contact le plateau téléphonique mis en place à cette même occasion. Dans les deux cas, la saisie d’un code sera complétée par la diction d’une phrase de passe.

Des vérifications supplémentaires telles que l’envoi d’un SMS ou une question « de sécurité » seront maintenues pour certaines opérations dont la modification des coordonnées et l’ajout de bénéficiaires externes.

La procédure d’enrôlement implique la prise de contact avec un téléconseiller pour la création du modèle vocal. Il est prévu d’opérer une désactivation si l’authentification échoue trois fois consécutivement.

Nuance en filigrane

Toutes les données traitées seront stockées pour la durée de l’expérimentation augmentée de 3 mois « pour en permettre l’exploitation et l’élaboration du bilan », selon la CNIL. Exception pour les modèles vocaux, qui seront supprimés dès que les tests prendront fin.

Dans le réseau Crédit du Nord, l’approche varie selon les banques*. Mais dans tous les cas, le modèle biométrique (le « gabarit ») sera conservé chiffré dans les locaux de la Société Générale.

Chez BPCE, la conservation s’effectue avec l’appui de la société Telecom Italie Sparkle Grèce.

Au cœur de chacun des deux dispositifs, la technologie VocalPassword de Nuance Communications.

En cas de pérennisation de la démarche, la CNIL recommande de garantir à chaque personne concernée la maîtrise de son gabarit, en le stockant soit sur un support que détient cette seule personne, soit en base de données, sous forme inexploitable sans un secret que détient cette même personne.

La Banque Postale aussi

En anticipation du règlement européen sur la protection des données (GDPR, qui entrera en vigueur dans un an), la Commission a révisé son approche de la biométrie, qu’elle définit comme « l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales ».

A été adopté un principe d’autorisation unique permettant aux organismes qui souhaitent mettre en œuvre de tels dispositifs d’effectuer une déclaration simplifiée. Lesdits dispositifs ne sont plus divisés qu’en deux catégories, selon qu’ils garantissent ou non aux personnes concernées de garder la maîtrise sur leur gabarit.

La CNIL avait déjà, l’an passé, délivré une autorisation d’expérimentation de la reconnaissance vocale, à La Banque Postale. Le service concerné devait, à l’origine, être ouvert aux clients à l’été 2016. Aux dernières nouvelles, il sera finalement rendu disponible en juin 2017, avec l’objectif de remplacer 3DSecure dans les procédures de paiement en ligne.

* Banque Tarneaud, Société Marseillaise de Crédit, Banque Laydernier, Banque Courtois, Banque Nuger, Banque Kolb, Banque Rhône-Alpes.