Délibération 2017-134 du 27 avril 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-134 du 27 avril 2017
Délibération n° 2017-134 du 27 avril 2017 autorisant la Banque Rhône-Alpes à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels. (Demande d’autorisation n° 2017390)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la Banque Rhône-Alpes d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre à titre expérimental un système d’authentification de ses clients par reconnaissance vocale sur le serveur de son centre d’appels ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, notamment son article 87 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

La Banque Rhône-Alpes a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation de mettre en œuvre à titre expérimental un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.

Ce système vise à sécuriser les opérations faites à distance par le biais du centre d’appels du groupe Crédit du Nord grâce à l'authentification biométrique des clients, couplée à la saisie de leur identifiant et la vérification du numéro entrant (qui doit être l’un des trois enregistrés dans le dossier client).

Cette expérimentation a pour but d’évaluer la fiabilité du système dans un cadre opérationnel, d’analyser les performances de l’outil de reconnaissance vocale par la mesure des faux positifs et faux négatifs et d’apprécier l’appétence des clients pour ce système d’authentification.

Ce projet d’expérimentation est porté par la Banque Rhône-Alpes en partenariat avec le groupe Crédit du Nord auquel elle appartient et la Société Générale. Par délibération n° 2014-093 du 13 mars 2014, cette dernière avait été autorisée par la Commission à mettre en œuvre, à titre expérimental, auprès de collaborateurs volontaires, un même système d’authentification vocale.

Ce système repose sur la solution de reconnaissance vocale développée par la société Nuance Communications, VocalPassword.

La Commission observe que le projet de traitement automatisé prévoit le recours à des données biométriques pour assurer le contrôle de l’identité des personnes. Il relève, à ce titre, du 8° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par la CNIL.

Sur la finalité du traitement :

Aujourd’hui, les clients de la Banque Rhône-Alpes ont la possibilité de consulter leurs comptes et de réaliser des opérations bancaires à distance via l’Internet ou en contactant un serveur vocal interactif Etoile Direct . Par téléphone, l’authentification est réalisée par la saisie d’un couple identifiant/mot de passe ou, en cas d’oubli ou perte de mot de passe, par une phase de vérification à l’américaine (questions de sécurité posées par un conseiller multimédia). Le nombre d’opérations pouvant être effectuées à distance dépend du niveau d’authentification du client (accès à un nombre restreint en cas de non saisie du mot de passe).

La Banque Rhône-Alpes souhaite proposer à ses clients d’expérimenter, pour une durée d’un an, une méthode d’authentification alternative par reconnaissance vocale.

L’information de mise en place du service expérimental sera transmise aux clients collaborateurs du groupe Crédit du Nord, en activité ou retraités, et leur famille directe (conjoints et enfants majeurs) rattachés à leur périmètre de compte. Seuls les 1000 premiers inscrits pourront participer à cette expérimentation.

Ceux-ci pourront accéder aux services bancaires à distance en s’authentifiant par leur voix en contactant un numéro de téléphone dédié les mettant en relation avec un serveur vocal interactif spécifique du centre d’appels du groupe Crédit du Nord intitulé Prosodie .

L’utilisateur pourra également s’authentifier par biométrie vocale lors d’un appel direct à son conseiller multimédia qui le redirigera vers le serveur vocal interactif Prosodie .

L’objectif visé par ce projet est d’augmenter le nombre d’appels authentifiés sur le centre d’appels du Crédit du Nord (seuls 36 % à ce jour) et de permettre aux clients de procéder à un plus grand nombre d’opérations à distance tout en simplifiant leur authentification.

L’authentification par reconnaissance vocale est composée de plusieurs étapes :

  1. Le numéro appelant utilisé par le client pour contacter le centre d’appels du Crédit du Nord est vérifié afin de déterminer s’il est bien l’un des trois numéros préalablement enrôlés par le client (mobile, fixe, professionnel) dans son dossier.
  2. Le client doit saisir son identifiant client sur le clavier du téléphone.
  3. Le client est invité à prononcer la phrase de passe pour que celle-ci soit comparée avec l’empreinte stockée sur le serveur d’authentification. Le client conserve la possibilité de s’authentifier par mot de passe plutôt que par sa voix.

L’adhésion à ce type d’authentification est précédée d’un processus en plusieurs étapes :

  1. Un courriel ou courrier postal est adressé à toutes les personnes susceptibles de participer à l’expérimentation afin de les informer de sa mise en place, du numéro dédié à ce service, ainsi que des modalités d’utilisation. Une mention d’information sera également ajoutée aux relevés de comptes des personnes concernées.
  2. Pour accéder à ce mode d’authentification biométrique, les personnes intéressées doivent avoir activé le service Etoile Direct afin de disposer du mot de passe dédié au service Etoile Direct , adressé par courrier postal.
  3. Les personnes souhaitant activer l’authentification par biométrie vocale contactent le centre d’appels au moyen du numéro de téléphone dédié transmis par courriel ou courrier postal.
  4. Le serveur vocal interactif invite alors le client à saisir son identifiant client et à choisir de s’authentifier par son mot de passe Etoile Direct ou par biométrie vocale. S’il choisit de s’authentifier par biométrie vocale mais qu’il ne dispose pas encore d’empreinte vocale, son numéro de téléphone est vérifié (le numéro de téléphone appelant doit être l’un des trois numéros de téléphone référencés dans le dossier client) et il est invité à saisir son mot de passe Etoile Direct afin de déclencher la procédure d’enrôlement.

Si le mot de passe saisi est erroné, ou si le numéro de téléphone n’est pas reconnu, l’appel sera transféré à un Conseiller Multimédia. Celui-ci effectue une vérification de l’identité du client par questions de sécurité et peut basculer l’appel vers le serveur vocal pour reprendre la procédure d’enrôlement. Néanmoins, le client ne peut s’enrôler que s’il dispose de son mot de passe Etoile Direct et s’il appelle d’un numéro de téléphone enregistré dans son dossier.

  1. Il est alors invité à prononcer trois fois la phrase de passe dictée par des consignes vocales afin de créer un modèle vocal.
  2. A la fin de la procédure d’enrôlement, un courriel, ou un courrier postal si aucune adresse électronique n’est enregistrée dans le dossier, est envoyé à l’utilisateur pour lui confirmer la création de son empreinte vocale et lui permettre éventuellement de porter une réclamation s’il n’était pas à son origine.

Une fois la procédure d’enrôlement terminée, le client pourra s’authentifier par sa voix en répétant la phrase de passe, qui sera comparée au modèle vocal constitué lors de son enrôlement.

La reconnaissance du locuteur se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix est créé en enrôlant des échantillons vocaux de la personne. Le système détermine si c'est bien le locuteur qui est à l’origine de la phrase prononcée ou non dans l’enregistrement.

Une des propriétés du modèle vocal constitué lors de l’enrôlement est qu’il est non réversible ; les traits biométriques – ici la voix de l’utilisateur – ne peuvent pas être reconstitués à partir du modèle, en l’état actuel des connaissances. En effet, ce modèle représente une distribution de probabilités d’un certain nombre de caractéristiques de la voix et n’est pas un enregistrement de celle-ci.

Si l’authentification par biométrie vocale échoue deux fois consécutivement, l’appel de l’utilisateur est transféré à un conseiller multimédia de la banque à distance. Le conseiller effectue alors une authentification par questions secrètes avant de répondre aux demandes du client. Toutefois, celui-ci ne pourra procéder à aucune opération bancaire. Son appel pourra être transféré sur le serveur d’authentification par mot de passe ou le serveur d’authentification biométrique. En cas de nouvel échec, le client peut demander la réinitialisation de son mot de passe qu’il recevra par courrier postal.

Après quatre échecs consécutifs (considérés comme tels y compris s’ils n’ont pas lieu lors du même appel téléphonique), l’empreinte biométrique de l’utilisateur n’est plus utilisable et son mot de passe Etoile direct est également désactivé. Il doit alors contacter un conseiller multimédia pour recevoir un nouveau mot de passe par courrier postal et être en mesure de réactiver son empreinte vocale.

La Commission considère que la finalité du traitement mis en œuvre à titre expérimental est déterminée, explicite et légitime.

Sur le fondement juridique du traitement :

Le traitement de reconnaissance vocale repose, conformément à l’article 7 de la loi du 6 janvier 1978, sur le consentement spécifique, libre et éclairé de la personne concernée, qui choisit de recourir à ce mode d’authentification pour permettre la réalisation d’opérations à distance par le biais du centre d’appels.

La solution offre des dispositifs d’authentification alternatifs à la reconnaissance vocale, sans surcoût ni contrainte particulière pour la personne concernée.

Il est possible de revenir à tout moment et sans frais sur les choix exprimés quant au mode d’authentification et d’obtenir la suppression des modèles biométriques constitués lorsque la personne concernée signifie qu’elle ne souhaite plus participer à l’expérimentation d’authentification vocale.

Sur la nature des données traitées :

Les données collectées auprès des clients choisissant de recourir à l’authentification vocale sont les suivantes :

  • identifiant client ;
  • numéros de téléphone et adresses électronique ;
  • modèle biométrique vocal (les enregistrements permettant de produire le modèle biométrique vocal ne sont pas conservés) ;
  • les journaux des opérations qui permettent de tracer toutes les demandes d’authentification biométrique (les informations stockées sont notamment : l’identifiant client, les dates et heures, ainsi que les résultats de l’authentification).

La Commission considère que la collecte de ces données est proportionnée à la finalité poursuivie.

Sur la durée de conservation des données :

Les données traitées dans le cadre de l’expérimentation seront supprimées à son issue, soit pour une durée de conservation de 12 mois.

Les journaux de connexion à la plateforme Nuance seront conservés 30 jours.

Sur les destinataires des données :

Seul aura accès aux données le personnel spécifiquement habilité à cet effet de la Banque Rhône-Alpes (personnel du service en charge de la mise en œuvre du projet), du Crédit du Nord, coordinateur du projet, de son partenaire la Société Générale, ainsi que de son prestataire sous-traitant (responsable en charge de la prestation, informaticiens, techniciens, etc.).

Sur l'information et les droits des personnes :

Les personnes concernées sont informées de leurs droits d’accès, de rectification et d’opposition par des mentions d’information figurant sur le courriel ou courrier postal adressé à toutes les personnes susceptibles de participer à l’expérimentation afin de les informer de sa mise en place.

Une telle mention d’information sera également intégrée à celle portée sur les relevés de comptes des personnes concernées, ainsi que dans le courriel, ou courrier postal si aucune adresse électronique n’est enregistrée dans le dossier, envoyé à l’utilisateur pour lui confirmer la création de son empreinte vocale à l’issue de son enrôlement.

Les personnes ayant accepté de participer à l’expérimentation disposent toujours de la possibilité d’opter pour une procédure alternative d’authentification par la saisie d’un identifiant et d’un mot de passe.

Par ailleurs, les personnes concernées peuvent demander à tout moment et sans frais la suppression de leur modèle vocal biométrique si elles ne souhaitent plus utiliser ce mode d’authentification et participer à l’expérimentation.

Sur la sécurité des données et la traçabilité des actions :

La solution VocalPassword de la société Nuance repose sur la conservation des gabarits en base centrale. Les gabarits sont signés avec une clé de licence spécifique au système Nuance déployé, ceci complique l'extraction des gabarits par un tiers, ainsi que la réalisation de transfert de contenu d’une base de gabarits vocaux Nuance dans une autre.

La base des gabarits est conservée chiffrée dans les locaux de la Société Générale. L'accès à ces locaux est restreint aux seules personnes autorisées au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.

Tant les données audio recueillies ayant servi à l’enrôlement que celles servant à l’authentification sont conservées uniquement le temps de réaliser les opérations de création du gabarit et de comparaison. Elles sont ensuite effacées.

Des dispositifs anti-rejeu sont mis en œuvre, afin se prémunir d’attaques par usurpation d’identité. Le paramétrage de ces dispositifs, et de la solution VocalPassword dans son ensemble, est réalisé avec le concours de la société Nuance.

Les échanges réalisés entre le serveur vocal interactif Prosodie et celui hébergeant la solution VocalPassword et les gabarits sont sécurisés au moyen du protocole HTTPS. Concernant le recours à ce protocole, la Commission recommande d’utiliser la version de TLS la plus à jour possible.

Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. Une revue globale des habilitations est opérée. Chaque personne habilitée s’authentifie par mot de passe. A ce sujet, la Commission rappelle que, conformément à sa délibération n°2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, elle demande que ces derniers fassent une longueur minimale de douze caractères et soient composés de lettres majuscules, minuscules, chiffres et symboles ou qu’ils fassent entre huit et onze caractères, soient composés de trois des quatre possibilités précitées et associés à une restriction d’accès en cas d’erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d’attente incrémentielle, etc.). Ils doivent en outre être définis, ou modifiés dès la première connexion, par l’utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair.

Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée. La Commission recommande de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes.

Des sauvegardes quotidiennes sont réalisées et sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.

Au regard du caractère expérimental et limité du traitement, la Commission considère que les mesures de sécurité décrites sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Par ailleurs, la Commission prend note que la Banque Rhône-Alpes s’engage à lui fournir, à l’issue de l’expérimentation, un bilan de l’expérimentation qui devra notamment comporter les éléments suivants :

  • une description des conditions de mise en œuvre technique, juridique et opérationnelle du dispositif expérimenté (taux de participation, temps moyen d’authentification, éventuels dysfonctionnements, causes des dysfonctionnements, taux de fausses acceptations, taux de faux rejets) ;
  • une évaluation de la perception utilisateur (phase de l’enrôlement, ergonomie du service, acceptabilité de la biométrie vocale, taux d’utilisation et de non utilisation) ;
  • une présentation des enjeux spécifiques relatifs à la protection des données (risques et mesures adoptées pour les limiter, synthèse relative au respect des dispositions de la loi du 6 janvier 1978 modifiée) ;
  • les suites envisagées par le responsable de traitement sur la base du bilan effectué : axes d’amélioration, abandon du projet, demande de nouvelle expérimentation, demande d’autorisation de mise en œuvre à titre permanent.

En outre, la Commission prend acte que ce dispositif a été conçu dans un contexte expérimental et que les conditions présentées dans ce dossier ne présagent nullement de celles qui pourraient être établies dans l’hypothèse où la pérennisation d’un tel dispositif était envisagé. Dans un tel cas, la Commission recommande que soit examinée la possibilité de déployer un dispositif qui assure aux personnes concernées de conserver le contrôle sur leurs données biométriques, en envisageant par exemple un stockage sous forme chiffrée des gabarits biométriques dont les clés de chiffrement/déchiffrement sont uniquement détenues par les utilisateurs.

Dans ces conditions, la Commission autorise la Banque Rhône-Alpes à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.

Enfin, la Commission rappelle que l’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE interviendra le 25 mai 2018. L’article 35-3 de ce texte dispose qu’une analyse d’impact relative à la protection des données [...] est, en particulier, requise dans les cas suivants : [...] le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 [...] parmi lesquelles les données biométriques aux fins d’identifier une personne physique de manière unique.

Aussi, la Commission prend acte de l’engagement pris par la Banque Rhône-Alpes de réaliser une analyse d’impact relative à la protection des données dans le cas où un projet de pérennisation de cette expérimentation était envisagé à son issue, ainsi que de consulter la Commission, sur la base de cet examen et ce, quel qu’en soit le niveau de risques évalué.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 23 mai 2017