Délibération 2009-700 du 17 décembre 2009

Commission Nationale de l'Informatique et des Libertés
Délibération n°2009-700 du 17 décembre 2009
Délibération n°2009-700 du 17 décembre 2009 autorisant Banque Accord à mettre en place à titre expérimental un système de paiement sans contact avec authentification biométrique du payeur
Etat: ABROGE

(Demande d’autorisation n°1383049)
La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la demande d’autorisation déposée par Banque Accord relative à un traitement de données à caractère personnel prévoyant l’expérimentation de cartes de paiement sans contact reposant sur la reconnaissance du réseau veineux des doigts de la main ;
Sur le rapport de M. Jean-Paul AMOUDRY, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement.
Formule les observations suivantes :
1. Présentation de la demande d’expérimentation soumise à la CNIL
Banque Accord a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation relative aux traitements automatisés nécessaires à l’expérimentation d’un moyen de paiement sans contact, dénommé support P1G (paiement d’un geste) et reposant sur l’utilisation d’un moyen d'authentification biométrique.
Les traitements automatisés de données à caractère personnel mis en œuvre à cette occasion visent à réduire le temps nécessaire à la réalisation d’un paiement et à répondre au mieux aux exigences de sécurité en vigueur, au regard de l’état de la technique, en proposant une authentification formelle du porteur pour chacune de ses transactions et une sécurisation de tous les échanges de données afférents.
L’expérimentation projetée vise à associer les dispositifs techniques suivants :
- La communication sans contact à moyenne distance, par onde radio ;
- Une authentification forte du payeur basée sur un élément biométrique sans trace, le réseau veineux des doigts ;
- Le stockage sur un support - une carte bancaire classique permettant également de s’authentifier par la saisie d’un code secret - du gabarit biométrique qui ne pourra être actionné par son titulaire qu’à proximité d’un terminal de paiement électronique (TPE) ;
- Les dernières normes de sécurité du domaine bancaire EMV/PCI avec authentification dynamique, qui garantissent notamment le chiffrement à un haut niveau de sécurité des échanges de données entre le moyen de paiement sans contact et les terminaux biométriques.
Pour s’authentifier puis initier le paiement, le porteur de la carte bancaire doit l’avoir sur lui et exécuter un geste volontaire : poser un doigt sur le lecteur biométrique du TPE. Il n’est en revanche pas nécessaire que la personne manie son moyen de paiement.
Le réseau veineux du doigt est lu par le TPE. Un gabarit biométrique en est extrait. Le lecteur du TPE recherche alors, dans un premier temps, si des cartes munies du dispositif P1G sont situées à proximité immédiate (1 m/1,5 m autour du lecteur). Dans un deuxième temps, le TPE s’assure, pour chacun des dispositifs P1G ainsi détectés, de l’intégrité de la puce qu’ils comportent avant tout échange de données à caractère personnel. Ce n’est que dans un troisième temps qu’un canal de communication sécurisé est ouvert par le TPE avec chacun des supports P1G authentifiés, afin de leur transmettre sous forme chiffrée le gabarit biométrique recueilli, en lieu et place du code secret habituel. Parallèlement, les communications sont interrompues avec les dispositifs non authentifiés.
Chaque carte munie du dispositif P1G est ainsi mise en mesure de vérifier si le gabarit reçu est conforme ou non à celui qu’elle conserve dans son coffre fort. En cas de comparaison positive, un certificat est émis et envoyé au TPE via le canal de communication sécurisé. La transaction de paiement peut alors être engagée selon les procédures et normes de sécurité bancaires habituelles. Le paiement est validé.
Calendrier et durée de l’expérimentation
L’expérimentation envisagée concerne l’utilisation en 2011-2012, pendant une durée de six mois, des moyens de paiement P1G chez quelques commerçants participant à cette phase pilote.
2. Analyse au regard de la loi du 6 janvier 1978
Sur la procédure applicable
La Commission observe que le projet de traitement automatisé prévoit le recours à des données biométriques pour le « contrôle de l’identité des personnes ». Il relève, à ce titre, du 8° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doit donc être autorisé par la CNIL.
Sur le principe de l’expérimentation d’une nouvelle solution de paiement sécurisé fondée sur un procédé d’authentification biométrique sans trace
La Commission souligne que c’est la première fois qu’elle est appelée à se prononcer sur le recours à une technologie biométrique dans le cadre d’une application potentiellement de masse.
Le dispositif biométrique a, en effet, vocation à être utilisé dans le cadre de ce traitement :
- non pas par une population restreinte, à l’intérieur de locaux placés sous la responsabilité du seul responsable du traitement, mais par le grand public, dans de multiples lieux, pour partie placés sous la responsabilité de tiers ;
- pour la réalisation d’opérations très courantes : effectuer des paiements chez des commerçants, à l’exclusion, à ce stade expérimental, de tout autre type d’opérations.
C’est pourquoi la Commission a tenu à s’assurer de la prise en compte de ses préconisations les plus protectrices en cas de recours à une technologie biométrique.
Par ailleurs, elle considère que le réseau veineux des doigts de la main, en l’état actuel de la technique, constitue une biométrie sans trace, c’est-à-dire qu’elle n’est pas susceptible d’être capturée à l’insu de la personne concernée et présente, en conséquence, des risques réduits pour les libertés et les droits fondamentaux des personnes.
Cette technologie peut ainsi être employée pour la vérification de l’identité des personnes, sous réserve, d’une part, que le recours à elle soit justifié par des raisons sérieuses, et d’autre part, qu’il soit entouré de garanties appropriées en matière de sécurité.
Sur les justifications invoquées pour expérimenter le recours à une biométrie sans trace
La Commission observe que l’expérimentation projetée a pour objet de proposer à des clients de Banque Accord de tester un dispositif qui vise à renforcer la sécurité et la confidentialité des transactions effectuées par carte chez les commerçants et apporter une réelle simplification des conditions d’utilisation des cartes bancaires :
- Le client n’aura pas à manipuler son moyen de paiement qu’il gardera en sécurité sur lui, ce qui devrait conduire à un gain de temps pour chaque transaction ;
- Il ne risquera pas de se faire capturer son code secret, ce qui devrait se traduire par une réduction substantielle de la fraude ;
- Il n’aura pas à s’interroger sur les règles d’authentification applicables chez le commerçant pour les paiements sans contact ;
- Il sera assuré qu’aucun tiers ne peut utiliser son moyen de paiement du fait de l’impossibilité d’usurper le gabarit biométrique d’un réseau veineux ;
- Il pourra à tout moment désactiver la fonction de communication sans fil de sa carte.
En outre, ce projet devrait à terme favoriser le développement de nouveaux services d’authentification, par exemple pour la banque en ligne ou la signature de documents.
La Commission note par ailleurs que les personnes ayant accepté de participer à l’expérimentation ne seront jamais obligées d’utiliser systématiquement la fonction de communication sans fil et le procédé d’authentification biométrique.
Ainsi, ces clients pourront à tout moment :
- Choisir d’utiliser leur carte bancaire en s’authentifiant par la saisie de leur code secret en lieu et place du système d’authentification biométrique ;
- Demander l’effacement de la donnée biométrique enregistrée dans leur carte bancaire, cette opération interdisant toute utilisation ultérieure du dispositif P1G de la carte ;
- Comme dit précédemment, désactiver la fonctionnalité de paiement sans contact de leur carte, en l’insérant dans un écrin empêchant toute transmission des ondes radio ou en actionnant un interrupteur situé sur le porte-carte, et réactiver cette fonctionnalité aussi facilement.
Enfin, la Commission, après avoir rappelé qu’il ne saurait être question pour elle de valider un nouveau mode de transaction bancaire, estime que le contrat signé avec les clients participant à l’expérimentation devra prévoir que le recours au dispositif d’authentification biométrique du payeur n’entraîne aucune modification des règles de preuve en vigueur.
Elle considère, dans ces conditions, que l’expérimentation d’une nouvelle modalité de validation des transactions recourant à une biométrie sans trace, aux lieu et place de la saisie d’un code confidentiel après insertion de la carte bancaire dans un TPE, ne méconnait pas les principes fondamentaux du droit de la protection des données à caractère personnel.
Sur les garanties de sécurité mises en place
La Commission prend acte, à cet égard, qu’aucune conservation dans une ou plusieurs bases de données des gabarits biométriques des titulaires des supports P1G n’est prévue. Les données biométriques du porteur, qui correspondent au réseau veineux de deux de ses doigts, ne sont conservées que dans la carte de paiement sans contact.
La Commission constate par ailleurs que la création d’un support P1G, et donc l’enregistrement du gabarit biométrique du réseau veineux de son titulaire, est réalisée, après vérification de l’identité de ce dernier, dans des agences bancaires qui disposent d’un lecteur biométrique d’initialisation sécurisé réservé à cet usage. Le personnel chargé de procéder à l’enregistrement aura, au préalable, été spécialement habilité à cette fin et sera authentifié lors de chaque opération. Les opérations d’enregistrement des gabarits biométriques font l’objet d’une traçabilité.
Des mesures de sécurité satisfaisantes sont prises pour que les données biométriques enregistrées ne puissent être ni altérées, ni dupliquées, ni extraites de la carte. A cette fin, les données biométriques du titulaire du moyen de paiement sont stockées dans l’environnement sécurisé du coffre-fort de la carte de paiement munie du dispositif P1G. Elles ne peuvent pas en sortir.
La Commission prend bonne note que des mesures de sécurité sont adoptées pour garantir que le gabarit biométrique du réseau veineux du titulaire du support P1G circulera exclusivement dans un circuit fermé, d’un environnement sécurisé vers un autre environnement sécurisé préalablement authentifié via un canal de communication chiffré.
A cette fin, un mécanisme de vérification préalable de la certification de la puce des cartes bancaires détectées dans la zone de communication du TPE est mis en place afin d’interdire toute communication avec des dispositifs non authentifiées. Le TPE est parallèlement identifié par les cartes munies du dispositif P1G.
L’initiation de la phase de reconnaissance mutuelle nécessite toutefois la transmission de données sous une forme non chiffrée, en particulier de l’identifiant propre à chaque support P1G au TPE. La Commission note à cet égard que, pour éviter que le porteur puisse être tracé à son insu sur la base de l’identifiant de sa carte, ces identifiants sont dynamiques, c’est-à-dire modifiés lors de chaque transaction.
Le gabarit biométrique ne circule que dans un second temps, après établissement d’un canal de communication chiffré avec les seuls supports de paiement authentifiés.
Les communications entre le TPE et les autres supports P1G sont rompues sans que ces derniers aient la possibilité de conserver la moindre trace des demandes de comparaison infructueuses et des gabarits reçus par erreur. De même, le TPE ne conserve aucune trace des gabarits biométriques qu’il a lus. Enfin, le certificat du TPE est automatiquement effacé en cas d’ouverture intempestive du terminal de paiement, afin d’empêcher toute nouvelle transaction.
L’ensemble de ces mesures est de nature à sécuriser de manière satisfaisante le recours à des moyens de paiement sans contact avec authentification biométrique des porteurs.
Dans ces conditions, la Commission autorise Banque Accord à mettre en œuvre, à titre expérimental et selon les modalités décrites ci-dessus, les traitements automatisés liés à l’utilisation du système de paiement sans contact P1G pendant la durée de la phase pilote.
La Commission demande qu'au terme de cette expérimentation, lui soit adressé un bilan des modalités de fonctionnement et d’utilisation du dispositif P1G à l’appui de la nouvelle demande d’autorisation nécessaire à la poursuite de cette application.

Le Président,

Alex TURK

Date de la publication sur legifrance: 1 octobre 2014