Paiement biométrique

Sommaire

Le paiement biométrique regroupe l’ensemble des techniques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques et biologiques. Pour l’utilisateur, le principal avantage du paiement biométrique est d'éviter d’avoir à saisir un code PIN ou un mot de passe avant d’effectuer une transaction financière.

En France, l’utilisation d’un système de paiement biométrique est soumise à l’autorisation préalable de la Commission nationale informatique et libertés (CNIL).

 

 

Paiement biométrique : caractéristiques

Selon le Parlement européen, la biométrie concerne toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique. Ces données biométriques sont de plus en plus utilisées pour garantir la sécurité des moyens de paiement.

En matière de paiement, les technologies concernent surtout les mesures physiologiques, dont les empreintes digitales, la forme de la main, du doigt, le réseau veineux, l'œil (iris et rétine), ou encore la forme du visage, pour les analyses morphologiques (scan). 

Ces techniques ne tarderont pas à se généraliser, par exemple pour les paiements par carte.

Fonctionnement d’un dispositif de paiement biométrique

L’utilisation d’un dispositif biométrique suit généralement 3 étapes :

  • capture des données biométriques relative à une personne à identifier (ou dont l’identité est à confirmer) grâce à un dispositif spécifique (lecteur d’empreintes, scan facial, etc.) ;
  • conversion des données sous forme numérique/digitale, puis comparaison avec des points caractéristiques servant de référent (par exemple les 12 points d’une empreinte digitale) ;
  • autorisation ou refus du paiement du paiement dans la limite d’une marge d’erreur (Equal Error Rate) aussi étroite que possible. 

Paiement biométrique : prudence de la CNIL

La CNIL se montre vigilante envers les procédés biométriques, notamment quand il s’agit de la sécurisation des données de référence et du respect de la vie privée. Selon elle, les données biométriques sont presque toutes uniques et permanentes. Elles se rapprochent d’un identificateur unique universel  permettant le « traçage » des individus.

Afin d’éviter la création d’une méga base d’identification biométriques, la CNIL distingue les dispositifs permettant aux personnes de garder la maîtrise de leur « gabarit » biométrique et ceux qui ne garantissent pas cette maîtrise :

  • avec la première option, le gabarit biométrique de l’usager est stocké localement, au sein de l’appareil, par exemple un smartphone. Ce gabarit, utilisé lors du paiement, ne peut être extrait de l’appareil ou recoupée avec d’autres informations. Il est hors d’atteinte pour le fabricant du mobile ou l’opérateur Télécom ;
  • avec la seconde option (pas de maîtrise du gabarit), l’empreinte ou le scan sont enregistrés dans un Cloud. La personne concernée n’a pas la maîtrise de sa silhouette biométrique, laquelle peut être utilisée pour d’autres applications.

Le 10 avril 2018, la CNIL a précisé sa doctrine pour mieux encadrer les systèmes d’authentification biométrique utilisés par des particuliers dans leur vie quotidienne et inciter les professionnels à veiller à ce que les technologies utilisées garantissent la protection des données personnelles. Elle y intègre les principes consacrés par le règlement général sur la protection des données (RGPD), dont l'entrée en vigueur est fixée au 25 mai 2018. Ces règles sont les suivantes :

  • justifier d'un besoin spécifique ;
  • après information, laisser la personne libre d’y recourir ou de choisir un dispositif alternatif ;
  • maintenir les données biométriques sous le contrôle exclusif de la personne concernée.
Consulter la fiche pratique Ooreka

Aussi dans la rubrique :

Paiement dématérialisé

Sommaire

Monnaie électronique

Monnaie électronique

Monnaie virtuelle

Monnaie virtuelle

Mandat postal

Mandat postal

Transfert d'argent

Transfert d'argent