La reconnaissance faciale, l’alpha et l’oméga de l’identité numérique pour le paiement ?
En préliminaire, il est utile de rappeler ce qu’est la reconnaissance faciale à usage d’identité numérique : un processus qui compare un gabarit (dit « template ») qui sert de modèle représentant certaines caractéristiques du visage, capturé par un selfie ou une vidéo, avec un ou plusieurs gabarits biométriques de référence (scan d’une photographie d’un document, donnée(s) numérique(s) dans une base ou dans une puce…). Le développement commercial de la reconnaissance faciale s’est accéléré ces dernières années avec le développement concomitant des caméras de vidéosurveillance et des smartphones.
Ce processus de reconnaissance faciale peut avoir pour objet :
- l’identification biométrique d’une personne, en comparant la nouvelle image capturée de la personne avec toutes les données de référence collectées auprès de différents individus (comparaison dite 1/N) ;
- l’authentification biométrique d’une personne, en comparant la nouvelle image capturée de la personne avec une donnée de référence de cette personne (comparaison 1/1). Lorsque la comparaison se fait au sein de la puce d’un support physique détenu par la personne, l’authentification est dite « Match-On-Card » (MOC).
Que ce soit par la CNIL ou le comité européen en charge de la protection des données personnelles (EDPB), l’image faciale capturée, le gabarit ou tout résultat de leur traitement technique, sont tous considérés comme des données de l’article 9 du RGPD, soit des données dites « sensibles ». Leur traitement est en principe interdit sauf exception.
Pour un usage commercial comme le paiement, le consentement exprès de la personne est considéré comme un cas d’exception. Toutefois, ce consentement ne signifie pas conformité au RGPD.
- La finalité du traitement de reconnaissance faciale ne doit pas dépasser la ligne rouge décrite par la CNIL dans son guide sur la reconnaissance faciale de 2019 : l’exigence de proportionnalité des moyens au regard d’objectifs jugés légitimes.
- L’EDPB a précisé dans un avis de janvier 2020 qu’une solution alternative devait être proposée à la personne, sans traitement biométrique, et cela sans contraintes supplémentaires ou coûts additionnels. Le nouveau guide de janvier 2021 de la convention 108 (à l’origine des textes fondateurs de loi et règlementations européennes) est en ligne avec l’avis de l’EDPB :
“In order to ensure that consent is freely given, data subjects should be offered alternative solutions to the use of facial recognition technologies (for example, using a password or an identification badge) that are easy to use as, if it appeared to be too long or complicated compared to the facial recognition technology, the choice would not be a genuine one.”
Par ailleurs toutes les autorités se rejoignent : le secteur privé (dont le paiement ou le commerce) ne peut recourir à de la reconnaissance faciale dite à la volée (« Live Facial Recognition ») dans un environnement non contrôlé (ex : centre commercial, espace public) qui couple la vidéosurveillance à des technologies de reconnaissance faciale en vue de les identifier.
Cas d’usage lié à l’identification par reconnaissance faciale pour le paiement
Dans certains pays, sont proposées des solutions de paiement de proximité par identification biométrique, le visage se substituant à la carte bancaire. En Asie, la reconnaissance faciale comme moyen de paiement est devenue monnaie courante et est facilement acceptée par les clients. Les deux géants chinois Alibaba et Tencent en sont les pionniers.
L’identification par reconnaissance faciale est également déployée par des banques à Singapour, mais en utilisant la solution d’identité numérique de l’Etat, qui repose sur une base de données biométriques centralisée régalienne, que ce soit pour un retrait aux DAB ou pour un paiement. A ce sujet, la vidéo TikTok, devenue virale, d’une fraude au paiement remet en cause la fiabilité de cette solution, tout du moins pour un parcours client de proximité.
Toutefois, le contexte lié au COVID-19 a rendu cette technologie inopérante en raison du port du masque obligatoire dans les magasins, comme aux Etats-Unis. En Europe de l’Ouest, c’est surtout la sécurité de stockage des données biométriques dans le cloud et la protection de la vie privée qui interrogent et peuvent même faire proscrire la solution par les autorités.
Ainsi, en Europe, l’EDPB et la CNIL considèrent que le gabarit devrait être sous le seul contrôle des personnes ayant donné leur consentement, de préférence sur un support physique qui leur appartient, voire dans une base de données, mais alors chiffrée et dont la clé est sous le contrôle de ces personnes.
Cela induit que ce type de process de paiement par identification biométrique pour un paiement en proximité ou à distance, pourrait ne pas être reconnu légitime lors du process de validation d’analyse d’impact vie privée par les autorités nationales en charge de la protection de la vie privée.
Cas d’usage lié à l’authentification par reconnaissance faciale pour le paiement
La reconnaissance faciale pour l’authentification peut par contre remplir plus aisément cet objectif de proportionnalité et de légitimité après consentement.
L’authentification par reconnaissance faciale est une condition sine qua none d’un parcours 100 % numérique pour l’ouverture d’un compte bancaire pour se conformer à la règlementation AMLD. A défaut de consentir à la capture et au traitement de la reconnaissance faciale, le client pourra se présenter à une agence pour vérifier son identité en face-à-face, même pour un parcours initié à distance. L’identification du client à distance procède par une étape de reconnaissance faciale entre la personne derrière la caméra de son PC ou de son smartphone et la photo, soit imprimée soit stockée dans la puce du document d’identité. Cette reconnaissance faciale à distance devra permettre d’atteindre le même niveau de risque qu’en face-à-face. L’ANSSI vient d’émettre un nouveau référentiel dit PVID qui doit rentrer en vigueur au 1er avril 2021. Ce cahier des charges impose en plus d’un flux vidéo pour la reconnaissance faciale avec une qualification de la détection du vivant et de la résistance aux fraudes, une validation humaine systématique.
L’authentification par reconnaissance faciale est une option du parcours conforme à la RTS/DSP2 pour accéder à son compte en ligne ou initier un paiement. En effet l’authentification forte doit procéder par une authentification dynamique résistante aux attaques « man in the middle », couplée à une authentification à deux facteurs (2FA), à choisir entre le facteur de possession (tel qu’une carte, un PC ou un mobile), le facteur de connaissance (tel qu’un mot de passe) et le facteur d’inhérence (tel que la reconnaissance faciale). En complément du facteur de possession, l’inhérence est souvent promue commercialement par nombre d’acteurs comme une solution plus conviviale et sécurisée que le facteur mot de passe.
Convivialité certainement, car nul n’est besoin de retenir son mot de passe complexe. Mais qu’en est-il de la sécurité ? Alors que la vulnérabilité du mot de passe est liée principalement à l’erreur humaine, la sécurité d’une authentification par reconnaissance faciale est liée à la technologie elle-même : Elle procède à un calcul par algorithmes de comparaison. Le score de comparaison n’est donc pas une réponse absolue mais un calcul de probabilité.
Cette estimation est fortement dépendante de la technologie, mais aussi des paramétrages sélectionnés par le fournisseur et donc des marges d’erreur associées (taux de fausses acceptations (FAR), et taux de faux rejets (FRR). Ces marges d’erreur sont encore plus importantes en fonction de l’origine, de la couleur de peau et de l’âge des personnes. Ces biais démographiques touchent en particulier les femmes noires.
Par ailleurs, la reconnaissance faciale peut être vulnérable à des attaques plus spécifiques que pour un mot de passe (piégeage, contrainte). Outre les attaques de l’apparence de l’utilisateur dans le monde physique (masque, maquillage…), les fraudes par des moyens numériques avec masque virtuel deviennent accessibles à des non-experts ; et les experts affinent quant à eux leurs expertises dans l’injection de photos ou vidéos frauduleuses du visage d’une personne existante en remplacement des données capturées pour usurper son identité.
Qu’en pensent les experts ?
Selon les experts de la biométrie interrogés par Findbiometrics en 2019, 25 % d’entre eux pensent que la biométrie ne remplacera jamais le mot de passe et que la sécurité d’authentification est liée à la combinaison de différentes sécurités.
La revue eIDAS des pairs européens n’a accordé la notification au niveau élevé à Itsme et à la solution d’identité sur mobile de la Lettonie qu’à la condition expresse d’une authentification sans recours à la biométrie. Le rapport de l’ENISA de mars 2020 met en exergue l’enjeu de la sécurité/fiabilité des capteurs biométriques sur les mobiles, qui sont de qualité très variable d’un fabricant à un autre.
Qu’en pensent les Français?
L’étude de Renaissance Numérique de décembre 2019 indique que pour plus de 40 % des utilisateurs, la reconnaissance faciale est une technologie importante mais pas déterminante pour la sécurisation de l’authentification et pour un usage plus rapide ; un tiers la jugent même secondaire.
La reconnaissance faciale est donc un outil technologique puissant pour l’authentification dont la maturité technologique ne permet pas d’assurer une confiance de résultat absolue, ni même de sécurité infaillible, mais qui nécessite une acceptation sociétale au-delà de la facilité d’usage.
