DELIBERATION n°2018-051 du 15 FEVRIER 2018

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2018-051 du 15 FEVRIER 2018
Délibération n° 2018-051 du 15 février 2018 autorisant Boursorama à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance
Etat: VIGUEUR

(demande d’autorisation n° 2076148)

La Commission nationale de l'informatique et des libertés,

Saisie par Boursorama d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission ;

Vu le Code monétaire et financier, notamment ses articles L561-5, L. 561-10 et R. 56120 ;

Vu l’article L. 136 du Code des postes et des communications électroniques ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Boursorama souhaite mettre en place un parcours « flash » de souscription à distance à l’ouverture d’un compte bancaire dont la phase d’identification du prospect serait basée sur une identification par reconnaissance faciale. Elle a saisi dans ce cadre la Commission d’une demande d’autorisation et effectué une analyse d’impact relative à la protection des données, devançant sur ce dernier point les obligations prévues à l’article 35 du Règlement Général relatif à la Protection des Données (RGPD) qui entrera en application le 25 mai 2018.

La Commission observe que le traitement biométrique projeté repose sur la comparaison entre une photographie du visage prise lors de l’entrée en relation et la photographie officielle de la pièce d’identité fournie par la personne concernée.

A cet égard, et ce, au-delà du traitement biométrique soumis à la présente autorisation, la Commission rappelle que la conservation et le traitement de copies de pièces d'identité doivent faire l’objet de mesures de sécurité renforcées, telles que, par exemple, l’intégration d’un filigrane comportant la date de collecte et l’identité du responsable de traitement ou le recours à des mécanismes de chiffrement conformes au RGS, afin de se prémunir contre les risques de mésusage de ces informations et, notamment, d’utilisation ultérieure des photographies que ces pièces comprennent.

La Commission observe que le projet de traitement automatisé prévoit le recours à des données biométriques pour assurer le contrôle de l’identité des personnes. Il relève, à ce titre, du 8° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par la CNIL.

Sur la finalité du traitement :

Le recours à l’identification biométrique répond à l’impératif de déploiement de mesures de vigilance complémentaires dans les cas d’entrée en relation à distance prévu par le Code monétaire et financier. Boursorama souhaite, par ce biais, garantir un niveau élevé d’identification du prospect afin d’empêcher l’ouverture d’un compte sous une identité fausse ou usurpée tout en simplifiant et raccourcissant le parcours de souscription pour le prospect.

Le traitement biométrique de reconnaissance faciale intervient dans le cadre d’un parcours de souscription de compte bancaire accéléré dit « parcours flash ». Ce parcours constitue une alternative à la souscription en ligne classique et doit permettre l’ouverture d’un compte de manière quasi immédiate (1 jour ouvré au lieu de 10 à 20 jours actuellement), sans rupture de charge, tout en limitant les risques de fraudes et usurpations d’identité qu’une telle entrée en relation accélérée impliquerait.

La démarche s’effectue à partir d’une application mobile Boursorama à usage unique, dédiée à l’entrée en relation à distance, qu’il convient de télécharger sur un terminal mobile, ordiphone ou tablette. L’utilisateur est informé à l’ouverture de l’application des documents nécessaires à la souscription d’un compte et des traitements de données à caractère personnel mis en œuvre. Il ne peut poursuivre le parcours sans avoir spécifiquement consenti à la mise en œuvre du dispositif biométrique. A défaut, il est invité à « basculer » sur le parcours de souscription en ligne classique.

En premier lieu, le prospect doit communiquer des données liées à son identité, ses coordonnées et à sa résidence fiscale (dans le cadre des obligations de connaissance client des établissements bancaire). Il doit également fournir les justificatifs nécessaires à l’ouverture d’un compte, notamment une copie de pièce d’identité officielle. Une technologie de lecture automatique des documents d’identité est mise en œuvre afin d’extraire les données issues des documents transmis et de remplir automatiquement les formulaires de collecte de données.

Une mesure technique de blocage de l’accès au parcours de souscription a également été mise en place afin de détecter que le demandeur est mineur sur la base de sa pièce d’identité.

Au titre de mesures de vigilance complémentaires, la copie de la pièce d’identité est détourée afin d’isoler la photographie du demandeur d’ouverture de compte. Il est également demandé à la personne concernée de réaliser un autoportrait avec son téléphone mobile.

La demande d’ouverture de compte comprenant la photographie issue de la copie de pièce d’identité fournie, ainsi que l’autoportrait réalisé est transmise de manière sécurisée sur un serveur web dédié de Boursorama. Une comparaison biométrique de la photographie figurant sur la pièce d’identité fournie et de l’autoportrait est effectuée. Cette comparaison produit un score de ressemblance de 0 ou de 1.

Dans le cas où l’identité du souscripteur est confirmée par le dispositif biométrique (score de 1), il est invité à choisir le produit bancaire souhaité. Une fois le parcours terminé, le prospect procède à la signature électronique de sa demande d’ouverture de compte.

Il reçoit à J+1 ouvré un courriel contenant une URL vers le nouvel espace client et son identifiant lui permettant d’y accéder.

La photographie détourée de la pièce d’identité, l’autoportrait, les gabarits biométriques et le score de ressemblance ne sont conservés qu’en mémoire vive le temps de réalisation de l’opération (trois secondes en moyenne).

Après trois résultats négatifs de comparaison biométrique, le demandeur ne se voit pas refuser l’ouverture au compte mais est invité à opter pour le parcours de souscription classique.

Quel que soit le motif de rejet, y compris en cas de refus d’ouverture « flash » de compte, l’utilisateur reste en mesure de procéder à une ouverture de compte via le parcours classique, les deux parcours étant entièrement indépendants (aucune donnée issue du parcours « flash » ne sera prise en compte dans le cadre du parcours classique).

La Commission considère que la finalité du traitement est déterminée, explicite et légitime.

Sur le fondement juridique du traitement :

La Commission rappelle que conformément aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée, le consentement ne peut servir de base légale valable au traitement que s’il est libre, spécifique et informé.

Dans le cas présent, les personnes concernées sont invitées, avant toute utilisation du service, à consentir ou non au traitement de leurs données biométriques, lors de l’entrée en relation à distance. Les personnes conservent la possibilité de ne pas consentir ou de retirer leur consentement à tout moment du processus et d’opter pour le parcours de souscription en ligne classique.

La mise à disposition de procédures de souscription ne nécessitant pas l’identification biométrique des personnes concernées lors de l’entrée en relation est essentielle afin de garantir la liberté de leur consentement. La Commission rappelle donc que les alternatives existantes doivent être présentées à la personne concernée avant qu’elle n’exprime son choix et être maintenues, sans contrainte additionnelle, en tant qu’option lors de l’entrée en relation avec la banque.

Sous ces réserves, le traitement soumis à la présente autorisation repose sur le consentement préalable des personnes concernées, conformément à l’article 7 de la loi du 6 janvier 1978.

Sur la nature des données traitées :

Le traitement envisagé prévoit la collecte des données suivantes :

des données d’identité du prospect, comprenant une copie de pièce d’identité ;

un autoportrait du prospect ;

des modèles biométriques calculés.

La Commission considère que la collecte de ces données est proportionnée à la finalité poursuivie.

Sur la durée de conservation des données :

Les gabarits générés pour procéder à la comparaison biométrique le sont en mémoire vive (RAM) pendant le temps de traitement du dispositif de comparaison, soit 3 secondes en moyenne.

Ainsi, à l’issue de la procédure de comparaison biométrique, la photographie détourée de la pièce d’identité, l’autoportrait, les gabarits biométriques, ainsi que le score de ressemblance issu de la comparaison sont supprimés. Seule l’information sur la validité de l’authentification (0 ou 1) est conservée pour permettre la poursuite du parcours de souscription.

Les autres données collectées (état-civil, copie de la pièce d’identité, etc.) sont conservées, le cas échéant, au titre des obligations légales auxquelles Boursorama est soumis. La durée de conservation de ces données est fixée à cinq ans à compter de la fin de la relation contractuelle.

Sur les destinataires des données :

Seul aura accès aux données le personnel spécifiquement habilité à cet effet de Boursorama ainsi que de ses prestataires sous-traitants soumis à des obligations de confidentialité renforcées, pour l’hébergement (IBM) et la fourniture du dispositif biométrique (Scanovate) notamment.

Sur l'information des personnes :

Les personnes concernées sont informées de manière granulaire des opérations de traitement conformément aux dispositions de l’article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée et ce notamment, à l’ouverture de l’application avant toute collecte de donnée.

Un accord exprès à la mise en œuvre du dispositif biométrique est recueilli à ce stade, avant toute initialisation du processus d’entrée en relation, par le biais de cases à cocher « oui-non ». Le consentement est enregistré le cas échéant dans la signature électronique réalisée en fin de parcours.

La personne concernée garde la faculté de retirer son consentement à tout moment du processus, notamment à l’étape de réalisation de son autoportrait à laquelle l’information sur les opérations de traitement est alors complétée.

Sur les droits d'accès, de rectification et d'opposition des personnes :

Les personnes conservent la possibilité de ne pas consentir ou de retirer leur consentement à tout moment du processus et d’opter pour le parcours de souscription en ligne classique.

Les personnes concernées peuvent interrompre à tout moment le processus d’entrée en relation à distance. En cas d’interruption du processus par le prospect, la clôture de la transaction entraîne la purge des données reçues.

Les personnes concernées peuvent exercer leur droit d’accès afin de se voir transmettre les données conservées au titre de la relation client. S’agissant plus directement du dispositif biométrique objet de la présente délibération, ni la photographie détourée de la pièce d’identité, ni l’autoportrait réalisé par le prospect dans le cadre du processus, ni les gabarits biométriques, ni le score de ressemblance issu de la comparaison biométrique sont conservés une fois la procédure de comparaison biométrique achevée.

Sur la sécurité des données et la traçabilité des actions :

Afin de documenter sa démarche et d’identifier les risques que représente un tel traitement, Boursorama a réalisé une étude d’impact sur la vie privée. Les modalités de mise en œuvre et mesures techniques adoptées ont permis de réduire à un niveau de vraisemblance et de gravité négligeable les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité.

Les principales mesures sont les suivantes :

lors de l’installation de l’application mobile Boursorama, un applicatif est déployé afin de scanner le contenu du terminal et de s’assurer qu’il ne contient pas de logiciels malveillants ;

une mesure de « détection de vie » est réalisée afin de s’assurer que l’autoportrait réalisé est celui d’une personne vivante (et non une photographie de photographie ou de masque) ;

les pièces justificatives, l’autoportrait, la photographie détourée de la carte d’identité ou du passeport et le score de comparaison biométrique sont échangés d’une manière chiffrée entre l’application mobile, les systèmes du sous-traitant offrant la modalité de comparaison biométrique et la plateforme de Boursorama ; tous les échanges de données sont effectués via des protocoles sécurisés permettant de garantir la confidentialité des données ;

la comparaison des photographies se fait en mémoire vive avec un système d’effacement automatique. Il n’y a donc ni transmission, ni conservation des modèles biométriques. A cet égard, la Commission souligne la nécessité de s’assurer régulièrement de l’effectivité de cet effacement ;

il n’y a pas de conservation des données biométriques et du score de comparaison dans le fichier de preuve. De même, il n’y a pas de conservation des photographies, ni des pièces d’identité par le système de vérification d’authenticité, laquelle se fait en mémoire vive ;

après trois échecs successifs ou en cas d’indisponibilité du dispositif, les personnes concernées sont invitées à utiliser le parcours « classique » pour l’ouverture de leur compte bancaire Boursorama ;

les algorithmes de comparaison biométrique sont réglés afin de disposer du meilleur compromis entre la fiabilité du contrôle et les éventuels faux rejets.

Boursorama met en œuvre une Politique de sécurité des systèmes d’information (PSSI). La société conclut de plus des engagements contractuels avec ses sous-traitants, rendant obligatoire la définition de politiques et des procédures écrites, définies et appliquées, concernant la traçabilité des habilitations et accès, ainsi que la sécurité logique et physique des équipements et réseaux. La Commission prend note que ces engagements contractuels autorisent Boursorama à mener des audits de sécurité chez ses sous-traitants.

Les mesures de sécurité prévues sont conformes aux recommandations de la Commission en termes de minimisation des données, de chiffrement des échanges, de contrôle d’accès, de cloisonnement des données et de non-conservation des modèles biométriques, ainsi que de prévention et de gestion d’incidents. De plus, une politique de gestion des habilitations et des accès encadre fortement l’accès au serveur biométrique du sous-traitant.

Enfin, une gestion des traces et des incidents est mise en place entre le responsable du traitement et ses prestataires.

Dans ces conditions, la Commission autorise Boursorama à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en œuvre d’un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

Pour La Présidente

Le Vice-Président Délégué

Marie-France MAZARS




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 2 mars 2018