DELIBERATION n°2017-141 du 27 AVRIL 2017

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2017-141 du 27 AVRIL 2017
Délibération n° 2017-141 du 27 avril 2017 autorisant la société BPCE à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients par reconnaissance vocale sur les services de banque à distance(Demande d’autorisation n° 1977333)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la société BPCE d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre à titre expérimental un système d’authentification de leurs clients par reconnaissance vocale sur les services de banque à distance ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, notamment son article 87 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La société BPCE a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation de mettre en œuvre à titre expérimental un système d’authentification de ses clients par reconnaissance vocale sur les services de banque à distance (application mobile de banque en ligne et centre d’appel).

Ce système vise à sécuriser des opérations faites à distance grâce à l'authentification biométrique des clients couplée à la saisie de leur identifiant.

Cette expérimentation a pour but d’évaluer la fiabilité du système dans un cadre opérationnel, d’analyser les performances de l’outil de reconnaissance vocale par la mesure des faux positifs et faux négatifs et d’apprécier l’appétence des clients pour ce système d’authentification.

Ce projet d’expérimentation repose sur la technologie de la solution de reconnaissance vocale développée par la société Nuance « VocalPassword », le dispositif « Secure Call » commercialisé par Alias Lab.

Cette expérimentation sera mise en œuvre auprès des clients des Caisses d’Epargne Lorraine Champagne-Ardenne et Rhône-Alpes.

La Commission observe que le projet de traitement automatisé prévoit le recours à des données biométriques pour assurer le contrôle de l’identité des personnes. Il relève, à ce titre, du 8° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par la CNIL.

Sur la finalité du traitement :

Aujourd’hui, les clients de BPCE ont la possibilité de consulter leurs comptes et de réaliser des opérations bancaires à distance via l’Internet, en saisissant un identifiant et un mot de passe, ou en contactant un plateau téléphonique. Par téléphone, l’authentification est réalisée en apportant les réponses à des questions d’identification posées par la plateforme téléphonique.

La BPCE souhaite expérimenter, pour une durée d’un an, une méthode d’authentification alternative par reconnaissance vocale.

Les personnes qui pourront participer à l’expérimentation sont :

les clients de la Caisse d’Epargne Lorraine Champagne Ardennes qui ont accepté de faire partie du panel de volontaires de leur banque dit « LAB sociétaire » pour être invités à participer à des expérimentations, soit environ 200 personnes ;

les clients de la Caisse d’Epargne Rhône Alpes qui exercent une profession libérale, soit environ 200 personnes.

Celles-ci pourront accéder aux services bancaires à distance en s’authentifiant par leur voix soit en activant l’application mobile dédiée à l’expérimentation de la biométrie vocale, soit en contactant le plateau téléphonique mis en place par la BPCE aux fins de l’expérimentation (numéro spécifique).

L’objectif de ce projet est de renforcer les mesures de sécurité visant à lutter contre l’usurpation d’identité tout en simplifiant l’authentification des clients leur permettant d’accéder à leurs services bancaires à distance.

L’authentification par reconnaissance vocale est composée de plusieurs étapes :

Par plateau téléphonique :

Le client contacte le plateau téléphonique de banque à distance.

Il doit saisir le code « Direct Ecureuil » sur le clavier du téléphone.

Il est invité à prononcer la phrase de passe pour que celle-ci soit comparée avec le modèle vocal stocké sur le serveur d’authentification.

Par application mobile :

Le client active l’application mobile dédiée à l’expérimentation.

Il saisit le code d’identification dit « Interactive Voice Response ».

Il est invité à prononcer la phrase de passe pour que celle-ci soit comparée avec le modèle vocal stocké sur le serveur d’authentification.

L’authentification vocale permet d’accéder à tous les services à distance ; des vérifications supplémentaires (envoi d’un SMS ou question « de sécurité ») seront maintenues pour certaines opérations telles que la modification des coordonnées clients et l’ajout des coordonnées bancaires d’un bénéficiaire externe à la banque.

Les clients participant à l’expérimentation conservent la possibilité d’accéder aux services de banque à distance par les moyens classiques, en saisissant leur identifiant et mot de passe s’agissant de l’application mobile non dédiée à l’expérimentation, ou en répondant aux questions d’authentification du plateau téléphonique.

L’adhésion à l’expérimentation de ce type d’authentification est précédée d’un processus en plusieurs étapes :

Les clients du « LAB sociétaire » de la Caisse d’Epargne Lorraine Champagne Ardennes et ceux de  la Caisse d’Epargne Rhône Alpes exerçant une profession libérale se voient proposer par leur Caisse respective de participer à l’expérimentation.

Ceux qui se sont déclarés volontaires pour y participer reçoivent via la messagerie interne de leur espace personnel de la banque à distance le formulaire de recueil de consentement qu’ils doivent renvoyer signé à leur Caisse.

A réception de ce formulaire signé, leur Caisse leur envoie, via la messagerie interne de leur espace personnel de la banque à distance, un message contenant, selon le choix exprimé, soit le numéro de téléphone dédié à l’expérimentation, ainsi que le code « Direct Ecureuil », soit l'adresse du store où télécharger l'application mobile dédiée, ainsi que le code d’identification dit « code Interactive Voice Response ».

Par plateau téléphonique :

Les personnes souhaitant activer l’authentification par biométrie vocale contactent le plateau téléphonique en composant le numéro dédié communiqué par messagerie interne à leur espace personnel.

le serveur vocal interactif invite alors le client à saisir son code « Direct Ecureuil ».

si le système détecte qu’il s’agit d’un client non encore enrôlé, le téléconseiller applique la procédure actuelle d'identification afin de déclencher la procédure d’enrôlement.

Le client est alors invité à prononcer trois fois la phrase de passe dictée par des consignes vocales afin de créer un modèle vocal.

A la fin de la procédure d’enrôlement, le téléconseiller reprend le traitement des demandes client.

Par application mobile :

Les personnes souhaitant activer l’authentification par biométrie vocale sur application mobile doivent télécharger l’application mobile dédiée à l’expérimentation tel que décrite dans le message adressé sur leur messagerie interne à l’espace personnel de banque en ligne.

Les clients doivent ensuite activer cette application et saisir le code d’identification dit « code Interactive Voice Response ».

si le système détecte qu’il s’agit d’un client non encore enrôlé, la procédure d’enrôlement est déclenchée.

Le client est alors invité à prononcer trois fois la phrase de passe dictée par des consignes vocales afin de créer un modèle vocal.

Une fois la procédure d’enrôlement terminée, le client pourra s’authentifier par sa voix pour accéder aux services bancaires à distance en répétant la phrase de passe, qui sera comparée au modèle vocal constitué lors de son enrôlement.

La reconnaissance du locuteur se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix est créé en enrôlant des échantillons vocaux de la personne. Le système détermine si c'est bien le locuteur qui parle ou non dans l’enregistrement.

Une des propriétés du modèle vocal constitué lors de l’enrôlement est qu’il est non réversible ; les traits biométriques – ici la voix de l’utilisateur – ne peuvent pas être reconstitués à partir du modèle, en l'état actuel des connaissances

.

Si l’authentification par biométrie vocale échoue trois fois consécutivement, le processus d’accès aux services bancaires à distance par authentification vocale est interrompu. Le client conserve la possibilité d’y accéder par les moyens classiques (couple identifiant/mot de passe ou questions « de sécurité »).

La Commission considère que la finalité du traitement mis en œuvre à titre expérimental est déterminée, explicite et légitime.

Sur le fondement juridique du traitement :

Le traitement de reconnaissance vocale repose, conformément à l’article 7 de la loi du 6 janvier 1978, sur le consentement spécifique, libre et éclairé de la personne concernée, qui choisit de recourir à ce mode d’authentification pour accéder aux services bancaires à distance (centre d’appel ou application mobile).

La solution offre des dispositifs d’authentification alternatifs à la reconnaissance vocale, sans surcoût ni contrainte particulière pour la personne concernée.

Il est possible de revenir à tout moment et sans frais sur les choix exprimés quant au mode d’authentification et d’obtenir la suppression des modèles biométriques constitués lorsque la personne concernée signifie qu’elle ne souhaite plus participer à l’expérimentation d’authentification vocale.

Sur la nature des données traitées :

Les données collectées auprès des clients choisissant de recourir à l’authentification vocale sont les suivantes :

identifiant banque en ligne du client ;

nom, prénom et coordonnées du client ;

modèle biométrique vocal (les enregistrements permettant de produire le modèle biométrique vocal ne sont pas conservés) ;

les journaux des opérations, qui permettent de tracer toutes les demandes d’authentification biométrique (les informations stockées sont notamment l’identifiant client, les dates et heures des connexions, ainsi que les résultats de l’authentification).

La Commission considère que la collecte de ces données est proportionnée à la finalité poursuivie.

Sur la durée de conservation des données :

Toutes les données traitées, à l’exception des modèles biométriques, sont stockées pour la durée de l’expérimentation (12 mois), augmentée de 3 mois pour en permettre l’exploitation et l’élaboration du bilan. Les modèles biométriques seront supprimés dès la fin de l’expérimentation (12 mois).

Sur les destinataires des données :

Seul aura accès aux données le personnel spécifiquement habilité au sein de la société BPCE, des caisses participantes au projet, du GIE informatique de la banque Caisse d'Epargne (ITCE), ainsi que de ses prestataires sous-traitants Alias Lab et la société Telecom Italia Sparkle Grèce.

Sur l'information et les droits des personnes :

Les personnes concernées sont informées de leurs droits d’accès, de rectification et d’opposition par des mentions d’information figurant sur le formulaire de souscription à l’expérimentation du service adressé par messagerie interne à l’espace personnel de banque en ligne qui doit être retourné à la Caisse signé par le client.

Les personnes ayant accepté de participer à l’expérimentation disposent toujours de la possibilité d’opter pour une procédure alternative d’authentification par la saisie d’un identifiant et d’un mot de passe sur l’application mobile ou par questions de sécurité sur le plateau téléphonique.

Par ailleurs, les personnes concernées peuvent demander à tout moment et sans frais la suppression de leur modèle vocal biométrique si elles ne souhaitent plus utiliser ce mode d’authentification et participer à l’expérimentation.

Sur la sécurité des données et la traçabilité des actions :

La solution VocalPassword de la société Nuance repose sur la conservation des modèles vocaux en base centrale. Les modèles sont signés avec une clé de licence spécifique au système Nuance déployé, ceci complique l'extraction des gabarits par un tiers, ainsi que la réalisation de transfert de contenu d’une base de gabarits vocaux Nuance dans une autre.

La base des modèles vocaux est conservée chiffrée chez la société Telecom Italia Sparkle Grèce. L'accès à ces locaux est restreint aux seules personnes autorisées au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.

Les données audio ayant servi à l’enrôlement ainsi que celles servant à l’authentification recueillies ne sont conservées que le temps de réaliser les opérations de création du modèle et de comparaison. Elles sont ensuite effacées.

Des dispositifs anti-rejeu sont mis en œuvre, afin se prémunir d’attaques par usurpation d’identité. Le paramétrage de ces dispositifs, et de la solution VocalPassword dans son ensemble, est réalisé avec le concours de la société AliasLab.

Les échanges réalisés entre le serveur vocal hébergeant le plateau téléphonique et celui hébergeant la solution VocalPassword et les modèles sont sécurisés au moyen du protocole HTTPS. Concernant le recours à ce protocole, la Commission recommande d’utiliser la version de TLS la plus à jour possible.

Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. Une revue globale des habilitations est opérée. Les personnes habilitées s’authentifient par mot de passe.

A ce sujet, la Commission rappelle que, conformément à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, elle demande que ces derniers fassent une longueur minimale de douze caractères et soient composés de lettres majuscules, minuscules, chiffres et symboles ou qu’ils fassent entre huit et onze caractères, soient composés de trois des quatre possibilités précitées et associés à une restriction d’accès en cas d’erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d’attente incrémentielle, etc.). Ils doivent en outre être définis, ou modifiés dès la première connexion, par l’utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair.

Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée. La Commission recommande de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes.

Des sauvegardes quotidiennes sont réalisées et sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.

La Commission considère que les mesures de sécurité décrites sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Par ailleurs, la Commission prend note que la BPCE s’engage à lui fournir, à l’issue de l’expérimentation, un bilan de l’expérimentation qui devra notamment comporter les éléments suivants :

une description des conditions de mise en œuvre technique, juridique et opérationnelle du dispositif expérimenté (taux de participation, temps moyen d’authentification, éventuels dysfonctionnements, causes des dysfonctionnements, taux de fausses acceptations, taux de faux rejets) ;

un rapport sur la perception utilisateur (phase de l’enrôlement, ergonomie du service, acceptabilité de la biométrie vocale, taux d’utilisation et de non utilisation ;

une présentation des enjeux spécifiques relatifs à la protection des données (risques et mesures adoptées pour les limiter, synthèse relative au respect des dispositions de la loi du 6 janvier 1978 modifiée) ;

les suites envisagées par le responsable de traitement sur la base du bilan effectué : axes d’amélioration, abandon du projet, demande de nouvelle expérimentation, demande d’autorisation de mise en œuvre à titre permanent.

En outre, la Commission prend acte que ce dispositif a été conçu dans un contexte expérimental et que les conditions présentées dans ce dossier ne présagent nullement de celles qui pourraient être établies dans l’hypothèse où la pérennisation d’un tel dispositif était envisagée. Dans un tel cas, la Commission recommande que soit examinée la possibilité de déployer un dispositif qui assure aux personnes concernées de conserver le contrôle sur leurs données biométriques, en étudiant par exemple un stockage sous forme chiffrée des gabarits biométriques dont les clés de chiffrements/déchiffrement sont uniquement détenues par les utilisateurs.

Dans ces conditions, la Commission autorise la société BPCE à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients par reconnaissance vocale sur les services de banque à distance.

Enfin, la Commission rappelle que l’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE interviendra le 25 mai 2018. L’article 35-3 de ce texte dispose qu’ « une analyse d’impact relative à la protection des données [...] est, en particulier, requise dans les cas suivants : [...] le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 [...] » parmi lesquelles les données biométriques aux fins d’identifier une personne physique de manière unique.

Aussi, la Commission prend acte de l’engagement pris par la BPCE de réaliser une analyse d’impact relative à la protection des données dans le cas où un projet de pérennisation de cette expérimentation était envisagé à son issue, ainsi que de consulter la Commission, sur la base de cet examen et ce, quel qu’en soit le niveau de risques évalué.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 23 mai 2017