Validation du système d’identification par reconnaissance faciale de Boursorama par la CNIL

L’utilisation de procédés innovants ne cesse de croître. Objectif affiché : faciliter les démarches quotidiennes, fiabiliser les procédures de souscription ou d’inscription diverses et variées, gagner du temps ...  et dans cette course aux innovations impactant le marché, le secteur bancaire n’est pas en reste …

Boursorama a souhaité lancer un parcours « flash » pour souscrire un compte à distance via une application téléchargeable dédiée et à usage unique reposant sur un système d’identification par reconnaissance faciale des prospects.

Première étape de l’ouverture de compte : la communication des renseignements et justificatifs nécessaires (titre d’identité, coordonnées, résidence fiscale). Deuxième étape : l’identification du prospect qui s’appuie sur une comparaison opérée par l’application entre la photographie officielle de la pièce d’identité qu’il a fourni et l’autoportrait qu’il réalise sur son terminal au moment de l’entrée en relation. Dans ce contexte, l’ouverture d’un compte bancaire pourra être réalisée dans un délai de 24 h, contrairement à la procédure classique (10 à 20 jours).

Ce n’est pas la première fois qu’une banque recourt à la biométrie comme nouveau procédé d’identification de ses prospects. De fait, la Société Générale, société mère de Boursorama, avait déjà obtenu de la CNIL l’autorisation de mettre en œuvre un système d’identification par reconnaissance faciale à partir d’une application mobile [délibération du 14 septembre 2017]. Ce dispositif reposait sur la vérification de l’authenticité des documents transmis par le prospect (score de vraisemblance), la comparaison entre le « selfie dynamique » réalisé par le prospect sur son portable et la photographie figurant sur la pièce d’identité communiquée (premier score de probabilité de correspondance), et, dans un troisième temps, une nouvelle comparaison entre la photographie figurant sur la pièce d’identité communiquée et les photographies issues de l’entretien vidéo du prospect avec le conseiller de la banque (second score de probabilité de correspondance). L’ouverture de compte était in fine validée par le conseiller bancaire en fonction des trois scores, de la vérification des pièces et de son impression générale liée à l’entretien vidéo.

Boursorama a décidé de soumettre à la CNIL son système d’identification par reconnaissance faciale des prospects en ligne. La CNIL a répondu positivement à la demande d’autorisation dans une délibération n°2018-051 du 15 février 2018. Concrètement, le dispositif validé s’appuie sur la communication des diverses informations requises pour ouvrir un compte, dont la pièce d’identité du prospect. Ce dernier est alors invité à réaliser un autoportrait qui fera l’objet d’une comparaison biométrique avec la photographie officielle, l’objectif étant de produire un score de ressemblance entre 0 et 1. En cas de validation de l’identité du prospect, le prospect pourra donc choisir le produit bancaire qu’il souhaite, procédera à la signature électronique de sa demande d’ouverture de compte et recevra dans les 24 heures une URL le dirigeant vers son espace client. Ce qui est donc novateur et différent du système proposé par la Société générale est que la décision est ici entièrement automatisée. A ce titre, et conformément à l’article 22 du Règlement général sur la protection des données (RGPD), la CNIL relève que les prospects doivent donner leur consentement avant toute utilisation du service et qu’ils peuvent le retirer à tout moment du processus et s’orienter vers un parcours de souscription en ligne classique.

La mise en œuvre d’un tel système d’identification par reconnaissance faciale nécessite l’adoption de garanties appropriées pour la sécurité et la confidentialité des données concernées. A titre principal, la CNIL relève que les gabarits générés afin de procéder à la comparaison des deux photographies sont conservés en mémoire vive, « uniquement le temps du traitement du dispositif de comparaison, soit 3 secondes en moyenne ». Seul le score sur la validité de l’authentification est conservé pour permettre la poursuite du parcours. De plus, en cas d’interruption du processus d’entrée en relation, la purge des données est automatique. Par ailleurs, l’accès aux données est strictement encadré pour le personnel de Boursorama et celui de ses sous-traitants. Enfin, Boursorama s’est engagée à prendre plusieurs mesures de sécurité compte tenu de la spécificité du traitement mis en œuvre dont la mise en place d’une mesure de « détection de vie » permettant de s’assurer que l’autoportrait réalisée est celui d’une personne vivante et le chiffrement des données sensibles lors des échanges avec les sous-traitants. 

Pour rappel, « les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes » sont soumis à autorisation spécifique de la CNIL en vertu de l’art. 25-I-8° de la Loi « Informatique et Libertés » modifiée. Si cette formalité disparaît avec le RGPD, il n’en reste pas moins que le Règlement confirme le principe d’interdiction de traiter librement des données biométriques (art. 9 du RGPD), principe également repris par l’actuel projet de loi sur la protection des données personnelles. Sésames de la mise en œuvre de ce type de traitement : la nécessité de recueillir le consentement de la personne concernée (art. 9-2-a) du RGPD) et l’obligation faite au responsable de traitement de réaliser une analyse d’impact (art. 35 du RGPD). C’est ce qu’a fait Boursorama.

Boursorama a remis à la CNIL l’étude d’impact sur la vie privée permettant de déterminer les risques présentés par son système d’identification par reconnaissance faciale et également de définir les mesures techniques à adopter. Compte tenu des risques identifiés pour ce dispositif (fuites ou pertes des données, indisponibilité du dispositif et usurpation d’identité), la CNIL a estimé que les mesures adoptées par Boursorama permettaient de réduire à « un niveau de vraisemblance et de gravité négligeable les impacts » sur la vie privée des personnes concernées.  Notons que la CNIL a aussi tenu compte de la documentation fournie à l’appui de la demande d’autorisation dont la PSSI de Boursorama ainsi que les engagements contractuels avec les sous-traitants « rendant obligatoire la définition de politiques et des procédures écrites, définies et appliquées, concernant la traçabilité des habilitations et accès, ainsi que la sécurité logique et physique des équipements et réseaux » et autorisant Boursorama à mener des audits de sécurité.

L’autorisation de la CNIL pourrait attester du fait qu’on est déjà le 25 mai 2018 ou du moins que le RGPD est déjà applicable. Ce n’est pas une surprise puisqu’au-delà des procédures de mise en conformité (cartographie des traitements, gouvernance …), le RGPD impose également de modifier les mentions d’informations à l’attention des personnes concernées par un traitement, les mentions contractuelles avec partenaires (en particulier les sous-traitants) et de se doter d’une documentation, de toute la documentation adaptée… Que d’écrits donc ! A vous livrer la citation du moment sur le RGPD : « L'écriture est une aventure. Au début c'est un jeu, puis c'est une amante, ensuite c'est un maître et ça devient un tyran. » Winston Churchill