• Home  / 
  • DELIBERATION 2011-200

DELIBERATION 2011-200

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, notamment son article 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié le 25 mars 2007 ;

Vu la délibération n°2009-700 du 17 décembre 2009 autorisant Banque Accord à mettre en place à titre expérimental un système de paiement sans contact avec authentification biométrique du payeur ;

Vu la demande de modification d'autorisation déposée par Banque Accord relative à des traitements de données à caractère personnel prévoyant l'expérimentation de cartes de paiement sans contact reposant sur la reconnaissance du réseau veineux de la paume de la main et sur l'utilisation de l'empreinte digitale exclusivement stockée sur support individuel ;

Sur le rapport de M. Jean-Paul AMOUDRY, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;

Formule les observations suivantes :

Banque Accord a saisi la Commission d'une demande d'autorisation relative aux traitements automatisés nécessaires à l'expérimentation d'un moyen de paiement sans contact reposant sur l'utilisation d'un moyen d'authentification biométrique du payeur.

Cette demande s'inscrit dans la continuité de l'autorisation délivrée par la Commission en 2009 pour un système de paiement sans contact avec authentification biométrique du payeur. Cette expérimentation repose sur l'utilisation d'une carte bancaire sans contact communicant avec le terminal de paiement (TPE) par ondes radios et du réseau veineux du doigt à la place du code secret. La donnée biométrique est exclusivement stockée sur un support individuel en l'occurrence la carte bancaire.

Les traitements automatisés de données à caractère personnel mis en œuvre à cette occasion visent à réduire le temps nécessaire à la réalisation d'un paiement et à répondre au mieux aux exigences de sécurité en vigueur, au regard de l'état de la technique, en proposant une authentification formelle du porteur pour chacune de ses transactions et une sécurisation de tous les échanges de données afférents.

Par une délibération n°2009-700 du 17 décembre 2009, la Commission a autorisé la mise en place de cette expérimentation, en 2011-2012, pendant une durée de six mois chez les commerçants participants avec, pour biométrie utilisée, le réseau veineux du doigt.

Banque Accord sollicite une modification de cette autorisation afin de recourir à deux nouvelles biométries : le réseau veineux de la paume de la main et l'empreinte digitale exclusivement stockée sur support individuel.

1. Présentation de la demande d'expérimentation soumise à la CNIL

L'expérimentation projetée vise à associer les dispositifs techniques suivants :

- La communication sans contact à moyenne distance, par onde radio entre un TPE et un dispositif susceptible de contenir une carte bancaire ;

- Une authentification forte du payeur basée sur un élément biométrique : le réseau veineux du doigt de la main, de la paume ou l'empreinte digitale d'un doigt ;

- Le stockage sur un support - une carte bancaire classique permettant également de s'authentifier par la saisie d'un code secret - du gabarit biométrique qui ne pourra être actionné par son titulaire qu'à proximité d'un terminal de paiement électronique (TPE) ;

- Les dernières normes de sécurité du domaine bancaire EMV/PCI avec authentification dynamique, qui garantissent notamment le chiffrement à un haut niveau de sécurité des échanges de données entre le moyen de paiement sans contact et les terminaux biométriques.

Pour s'authentifier puis initier le paiement, le porteur de la carte bancaire doit l'avoir sur lui et exécuter un geste volontaire : poser un doigt ou la paume de sa main sur le lecteur biométrique du TPE. Il n'est en revanche pas nécessaire que la personne manie son moyen de paiement.

La biométrie est lue par le TPE. Un gabarit biométrique en est extrait. Le lecteur du TPE recherche alors, dans un premier temps, si des cartes équipées du dispositif sont situées à proximité immédiate (1 m/1,5 m autour du lecteur). Dans un deuxième temps, le TPE s'assure, pour chaque carte détectée, de l'intégrité de la puce qu'elles comportent avant tout échange de données à caractère personnel. Ce n'est que dans un troisième temps qu'un canal de communication sécurisé est ouvert par le TPE avec chacune des cartes bancaires authentifiées, afin de leur transmettre sous forme chiffrée le gabarit biométrique recueilli, en lieu et place du code secret habituel. Parallèlement, les communications sont interrompues avec les dispositifs non authentifiés.

Chaque carte est ainsi mise en mesure de vérifier si le gabarit reçu est conforme ou non à celui qu'elle conserve dans son coffre fort. En cas de comparaison positive, un certificat est émis et envoyé au TPE via le canal de communication sécurisé. La transaction de paiement peut alors être engagée selon les procédures et normes de sécurité bancaires habituelles. Le paiement est validé.
L'expérimentation envisagée est limitée dans le temps et dans l'espace. Elle concerne l'utilisation en 2012, pendant une durée de six mois, des cartes bancaires avec authentification biométrique du porteur chez quelques commerçants participant à cette expérimentation.

La Commission rappelle que Banque accord devra saisir à nouveau la Commission en cas de prolongation ou de généralisation de cette expérimentation.

Elle prend acte qu'au terme de cette expérimentation, lui sera communiqué un bilan des modalités de fonctionnement et d'utilisation du dispositif à l'appui de la nouvelle demande d'autorisation nécessaire à la poursuite de cette application.


2. Analyse au regard de la loi du 6 janvier 1978

Sur la procédure applicable

La Commission observe que le projet de traitement automatisé prévoit le recours à des données biométriques pour le contrôle de l'identité des personnes . Il relève, à ce titre, du 8° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doit donc être autorisé par la CNIL.

Sur le principe de l'expérimentation d'une nouvelle solution de paiement sécurisé fondée sur un procédé d'authentification biométrique

Le dispositif biométrique a vocation à être utilisé dans le cadre de ce traitement :
- non pas par une population restreinte, à l'intérieur de locaux placés sous la responsabilité du seul responsable du traitement, mais par le grand public, dans de multiples lieux, pour partie placés sous la responsabilité de tiers ;
- pour la réalisation d'opérations très courantes : effectuer des paiements chez des commerçants, à l'exclusion, à ce stade expérimental, de tout autre type d'opérations.

La Commission souligne qu'elle s'était prononcée pour la première fois sur le recours à une technologie biométrique dans le cadre d'une application potentiellement de masse dans sa précédente délibération du 17 décembre 2009 autorisant Banque Accord à mettre en place à titre expérimental un système de paiement sans contact avec authentification biométrique du payeur.

Elle est saisie d'une demande d'autorisation pour permettre à Banque Accord de recourir, dans le cadre de cette expérimentation, à deux nouvelles biométries : le réseau veineux de la paume de la main et l'empreinte digitale exclusivement stockée sur support individuel.

C'est pourquoi la Commission a tenu à s'assurer de la prise en compte de ses préconisations les plus protectrices en cas de recours à une technologie biométrique.

Sur le recours au réseau veineux des doigts ou de la paume de la main

La Commission considère que le réseau veineux des doigts ou de la paume de la main, en l'état actuel de la technique, constitue une biométrie sans trace, c'est-à-dire qu'elle n'est pas susceptible d'être capturée à l'insu de la personne concernée et présente, en conséquence, des risques réduits pour les libertés et les droits fondamentaux des personnes.
Cette technologie peut ainsi être employée pour la vérification de l'identité des personnes, sous réserve, d'une part, que le recours à elle soit justifié par des raisons sérieuses, et d'autre part, qu'il soit entouré de garanties appropriées en matière de sécurité.

Sur le recours à l'empreinte digitale exclusivement stockée sur un support individuel

La Commission observe que l'empreinte digitale est une biométrie à trace. Elle constate que dans le cadre de cette expérimentation, le gabarit de l'empreinte digitale est exclusivement stocké sur un support individuel, la carte bancaire détenue par le porteur.

La Commission prend acte qu'aucune conservation dans une ou plusieurs bases de données des gabarits biométriques des empreintes digitales n'est prévue. A aucun moment, le gabarit de l'empreinte digitale ne circulera sur un réseau et les terminaux de paiement n'en conserveront aucune trace.

La Commission observe que les conditions d'utilisation de l'empreinte digitale et les conditions de sécurité mises en place sont identiques à celles entourant l'utilisation du réseau veineux du doigt ou de la paume de la main. En outre, les terminaux de paiement dotés de capteur d'empreintes digitales sont équipés de dispositifs de détection de faux doigts afin de prévenir tout risque d'usurpation d'identité.

La Commission est réservée quant au recours à l'empreinte en milieu ouvert. Toutefois, au regard des garanties ci-dessus apportées, elle considère que cette utilisation peut être justifiée dans le cadre de la présente expérimentation aux fins de comparaison des performances et du niveau d'acceptabilité des différentes données biométriques.

Enfin, Banque Accord s'est engagé à mettre à disposition de la Commission un dispositif pour expertise.

La Commission observe que l'expérimentation projetée a pour objet de proposer à des clients de Banque Accord de tester un dispositif qui vise à renforcer la sécurité et la confidentialité des transactions effectuées par carte chez les commerçants et apporter une réelle simplification des conditions d'utilisation des cartes bancaires :

- Le client n'aura pas à manipuler son moyen de paiement qu'il gardera en sécurité sur lui, ce qui devrait conduire à un gain de temps pour chaque transaction ;
- Il ne risquera pas de se faire capturer son code secret, ce qui devrait se traduire par une réduction substantielle de la fraude ;
- Il n'aura pas à s'interroger sur les règles d'authentification applicables chez le commerçant pour les paiements sans contact ;
- Il sera assuré qu'aucun tiers ne peut utiliser son moyen de paiement du fait de l'impossibilité d'usurper le gabarit biométrique d'un réseau veineux ;
- Il pourra à tout moment désactiver la fonction de communication sans fil de sa carte.

En outre, ce projet devrait à terme favoriser le développement de nouveaux services d'authentification, par exemple pour la banque en ligne ou la signature de documents.

La Commission note par ailleurs que les personnes ayant accepté de participer à l'expérimentation ne seront jamais obligées d'utiliser systématiquement la fonction de communication sans fil et le procédé d'authentification biométrique.
Ainsi, ces clients pourront à tout moment :
- Choisir d'utiliser leur carte bancaire en s'authentifiant par la saisie de leur code secret en lieu et place du système d'authentification biométrique ;
- Demander l'effacement de la donnée biométrique enregistrée dans leur carte bancaire, cette opération interdisant toute utilisation ultérieure de la carte ;
- Comme dit précédemment, désactiver la fonctionnalité de paiement sans contact de leur carte, en l'insérant dans un écrin empêchant toute transmission des ondes radio ou en actionnant un interrupteur situé sur le porte-carte, et réactiver cette fonctionnalité aussi facilement.

Enfin, la Commission, après avoir rappelé qu'il ne saurait être question pour elle de valider un nouveau mode de transaction bancaire, estime que le contrat signé avec les clients participant à l'expérimentation devra prévoir que le recours au dispositif d'authentification biométrique du payeur n'entraîne aucune modification des règles de preuve en vigueur.

Elle considère, dans ces conditions, que l'expérimentation d'une nouvelle modalité de validation des transactions recourant à la biométrie, aux lieu et place de la saisie d'un code confidentiel après insertion de la carte bancaire dans un TPE, ne méconnait pas les principes fondamentaux du droit de la protection des données à caractère personnel.

Sur les conditions de l'expérimentation

Dans le cadre de l'expérimentation, des terminaux de paiement équipés de capteurs biométriques seront déployés chez les commerçants participants.

La Commission observe qu'un terminal de paiement ne sera en mesure de lire qu'une seule biométrie. Dès lors, il ne sera pas susceptible de lire les autres biométries. En outre, une seule technologie sera évaluée par site.

Elle relève que le porteur n'a pas la possibilité de choisir la biométrie implémentée sur sa carte bancaire. La biométrie utilisée est déterminée en fonction de la zone géographique dans laquelle le porteur est susceptible d'utiliser sa carte bancaire et des terminaux de paiement déployés dans cette zone.

Un seul gabarit biométrique sera enregistré par carte bancaire ; un porteur ne sera donc pas en mesure d'utiliser deux biométries différentes à l'aide de la même carte.

Enfin, à l'issue de cette expérimentation en milieu ouvert, les données biométriques collectées seront supprimées. Les personnes concernées peuvent, si elles le souhaitent, participer à une étude comparative. Dans le cadre d'une expérimentation complémentaire réalisée en laboratoire, elles seront enrôlées afin d'utiliser une seconde technologie biométrique distincte de celle utilisée dans le cadre de l'expérimentation en milieu ouvert. Les données collectées seront effacées à la fin de cette évaluation.

Sur les garanties de sécurité mises en place

La Commission prend acte, à cet égard, qu'aucune conservation dans une ou plusieurs bases de données des gabarits biométriques des titulaires des cartes bancaires n'est prévue. Les données biométriques du porteur ne sont conservées que dans la carte de paiement sans contact.
La Commission constate par ailleurs que l'émission d'une carte bancaire, et donc l'enregistrement du gabarit biométrique du réseau veineux du doigt ou de la paume ou de l'empreinte digitale de son titulaire, est réalisée, après vérification de l'identité de ce dernier, dans des agences bancaires qui disposent d'un lecteur biométrique d'initialisation sécurisé réservé à cet usage. Le personnel chargé de procéder à l'enregistrement aura, au préalable, été spécialement habilité à cette fin et sera authentifié lors de chaque opération. Les opérations d'enregistrement des gabarits biométriques font l'objet d'une traçabilité.

Des mesures de sécurité satisfaisantes sont prises pour que les données biométriques enregistrées ne puissent être ni altérées, ni dupliquées, ni extraites de la carte. A cette fin, les données biométriques du titulaire du moyen de paiement sont stockées dans l'environnement sécurisé du coffre-fort de la carte de paiement. Elles ne peuvent pas en sortir.

La Commission prend acte que des mesures de sécurité sont adoptées pour garantir que le gabarit biométrique du titulaire circulera exclusivement dans un circuit fermé, d'un environnement sécurisé vers un autre environnement sécurisé préalablement authentifié via un canal de communication chiffré.

A cette fin, un mécanisme de vérification préalable de la certification de la puce des cartes bancaires détectées dans la zone de communication du TPE est mis en place afin d'interdire toute communication avec des dispositifs non authentifiées. Le TPE est parallèlement identifié par les cartes munies de ce dispositif.

L'initiation de la phase de reconnaissance mutuelle nécessite toutefois la transmission de données sous une forme non chiffrée, en particulier de l'identifiant propre à chaque carte bancaire au TPE. La Commission note à cet égard que, pour éviter que le porteur puisse être tracé à son insu sur la base de l'identifiant de sa carte ; cet identifiant est dynamique, c'est-à-dire modifié lors de chaque transaction.

Le gabarit biométrique ne circule que dans un second temps, après établissement d'un canal de communication chiffré avec les seuls supports de paiement authentifiés.

Les communications entre le TPE et les autres cartes sont rompues sans que ces dernières aient la possibilité de conserver la moindre trace des demandes de comparaison infructueuses et des gabarits reçus par erreur. De même, le TPE ne conserve aucune trace des gabarits biométriques qu'il a lus. Enfin, le certificat du TPE est automatiquement effacé en cas d'ouverture intempestive du terminal de paiement, afin d'empêcher toute nouvelle transaction.

L'ensemble de ces mesures est de nature à sécuriser de manière satisfaisante le recours à des moyens de paiement sans contact avec authentification biométrique des porteurs.

Dans ces conditions, la Commission autorise Banque Accord à mettre en œuvre, à titre expérimental et selon les modalités décrites ci-dessus, les traitements automatisés liés à l'utilisation du système de paiement sans contact pendant la durée de la phase pilote.

La Commission rappelle que la présente autorisation ne saurait préjuger de sa décision au regard d'une future demande d'autorisation, notamment s'agissant d'une généralisation du procédé expérimenté.

La délibération n°2007-700 du 17 décembre 2009 est abrogée.

Le Président

Alex TÜRK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: