Délibération 2017-251 du 14 septembre 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-251 du 14 septembre 2017
Délibération n° 2017-251 du 14 septembre 2017 autorisant la Société Générale à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance (demande d’autorisation n° 2060859)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la Société Générale d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission ;

Vu le Code monétaire et financier, notamment ses articles L561-5, L. 561-10 et R. 561‑20 ;

Vu l’article L. 136 du Code des postes et des communications électroniques ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

La Société Générale souhaite mettre en place un processus d’entrée en relation et d’ouverture de compte à distance dont la phase d’identification du prospect serait renforcée par une identification par reconnaissance faciale. Elle a saisi dans ce cadre la Commission d’une demande d’autorisation et effectué une analyse d’impact relative à la protection des données, devançant sur ce dernier point les obligations prévues à l’article 35 du Règlement Général relatif à la Protection des Données (RGPD) qui entrera en application le 25 mai 2018.

La Commission observe que le traitement biométrique projeté est singulier en ce qu’il repose sur la comparaison entre une photographie du visage prise lors de l’entrée en relation et la photographie figurant sur la pièce d’identité fournie par la personne concernée. Cette photographie officielle trouve ici un nouvel usage qu’il convient d’encadrer. Ainsi, indépendamment du traitement biométrique soumis à la présente autorisation, la Commission rappelle que la conservation et le traitement des justificatifs d’identité doivent satisfaire à des garanties fortes en termes de protection des données qui y figurent.

La Commission observe que le projet de traitement automatisé prévoit le recours à des données biométriques pour assurer le contrôle de l’identité des personnes. Il relève, à ce titre, du 8° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par la CNIL.

Sur la finalité du traitement :

Le traitement biométrique de reconnaissance faciale intervient à deux reprises dans le processus d’entrée en relation en vue de l’ouverture d’un compte. La Société Générale souhaite, par ce biais, garantir un niveau élevé d’identification du prospect afin d’empêcher l’ouverture d’un compte sous une identité fausse ou usurpée, sans complexifier son parcours, ni le contraindre à se déplacer physiquement en agence.

La démarche s’effectue à partir d’une application mobile sur un ordiphone ou une tablette qui permet d’accéder à une plateforme web dédiée à l’entrée en relation à distance.

En premier lieu, le prospect doit communiquer ses données d’identité, fournir les justificatifs nécessaires à l’ouverture d’un compte, notamment les copies de deux pièces d’identité officielles, conformément aux articles L. 561-10 et R. 561-20 du Code monétaire et financier. L’authenticité de ces documents est vérifiée par une application spécifique qui fournit un score de vraisemblance.

Il est également demandé à la personne concernée de réaliser un selfie dynamique (autoportrait photographique pris sous différents angles) sur son téléphone portable afin de permettre une première identification de la personne concernée par comparaison biométrique de la photographie figurant sur la pièce d’identité principale fournie et le selfie dynamique effectué. Cette comparaison produit un score de probabilité de correspondance.

En deuxième lieu, un entretien vidéo est organisé entre la personne concernée et un conseiller de la banque. Cette étape peut ne pas être consécutive à la première si la plateforme conseiller est fermée lorsque la première étape est réalisée (la nuit ou un dimanche, par exemple). Toutefois, le score de première comparaison biométrique n’est conservé que pour une durée de quinze jours. Au-delà, le processus est considéré abandonné et le score est purgé.

Dès le début de cet entretien, une nouvelle comparaison biométrique est effectuée entre la photographie figurant sur la pièce d’identité principale fournie et des photographies extraites de l’entretien vidéo. Cette comparaison produit un second score de probabilité de correspondance. Si les scores préalablement obtenus le nécessitent, le conseiller peut être amené à poser d’autres questions au prospect pour s’assurer de son identité au cours de cet entretien.

En troisième lieu, le conseiller décide, en fonction des trois scores précités, des résultats de ses recherches et de l’impression générale de l’entretien, de permettre ou non au prospect l’ouverture d’un compte à distance. Les trois scores résultant de la vérification de l’authenticité des pièces d’identité et des comparaisons biométriques n’entraînent donc pas, à eux-seuls et de manière automatisée, un refus d’entrée en relation.

En cas de refus d’ouverture de compte, la personne est invitée à se rendre en agence ou à envoyer par courrier un chèque pour le contrôle de l’identification conformément à ce que prévoit l’article R. 561-20 3° du Code monétaire et financier.

Ce dispositif satisfait l’impératif de déploiement de mesures de vigilance complémentaires en cas d’entrée en relation à distance (en l’espèce, collecte d’une pièce justificative supplémentaire et authentification d’un document officiel en cours de validité comportant la photographie du prospect par un tiers indépendant), tel que posé par le Code monétaire et financier. Il vise en outre à mettre en œuvre des moyens d’identification renforcés visant à lutter plus efficacement contre les fraudes, ainsi qu’à anticiper l’évolution réglementaire attendue en matière d’identification électronique.

La Commission considère que la finalité du traitement est déterminée, explicite et légitime.

Sur le fondement juridique du traitement :

La Commission rappelle que conformément aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée, le consentement ne peut servir de base légale valable au traitement que s’il est libre, spécifique et informé.

Dans le cas présent, les personnes concernées sont invitées, avant toute utilisation du service, à consentir ou non au traitement de leurs données biométriques, lors de l’entrée en relation à distance. Les personnes conservent la possibilité de ne pas consentir ou de retirer leur consentement à tout moment du processus et d’opter pour une autre procédure d’entrée en relation (à distance par l’envoi d’un chèque ou en agence).

La mise à disposition de procédures d’identification ne nécessitant pas l’identification biométrique des personnes concernées lors de l’entrée en relation est essentielle afin de garantir la liberté de leur consentement. La Commission rappelle donc que toutes ces alternatives doivent être présentées à la personne concernée avant qu’elle n’exprime son choix et être maintenues, sans contrainte additionnelle, en tant qu’option lors de l’entrée en relation avec la banque.

Sous ces réserves, le traitement soumis à la présente autorisation repose sur le consentement préalable des personnes concernées, conformément à l’article 7 de la loi du 6 janvier 1978.

Sur la nature des données traitées :

Le traitement envisagé prévoit la collecte des données suivantes :

  • données d’identité du prospect, comprenant les justificatifs d’identité ;
  • photographies du prospect ;
  • modèles biométriques calculés (ceux-ci ne sont pas conservés à l’issue de la comparaison biométrique).

A l’issue de la procédure d’entrée en relation, le responsable du traitement constitue un fichier de preuve comprenant :

  • la copie d’une pièce d’identité ;
  • le score d’authenticité de la pièce d’identité ;
  • les scores des comparaisons biométriques.

La Commission considère que la collecte de ces données est proportionnée à la finalité poursuivie.

Sur la durée de conservation des données :

Les données brutes et modèles permettant la comparaison biométrique ne sont traitées qu’en mémoire vive (RAM) pendant le temps de traitement de l’algorithme, soit quelques secondes. Les photographies, les pièces d’identité et les données biométriques sont supprimées automatiquement des serveurs du prestataire intervenant dans la cadre de ce dispositif, dès la clôture de la comparaison biométrique, une fois que le fichier de preuve (contenant la pièce d’identité, ainsi que les scores d’authenticité et de comparaison biométrique) est transmis à la Société Générale.

La durée de conservation des données d’identité dans le cadre de ce traitement est fixée à 60 jours afin de permettre au prospect qui aurait enclenché le processus de le poursuivre ultérieurement.

En cas d’interruption du processus d’entrée en relation à distance entre la 2ème et 3ème phase, le score de la première comparaison n’est conservé que pour une durée de 15 jours.

Seul ce fichier de preuve nécessite d’être conservé de manière plus pérenne par la Société Générale à des fins de preuve et afin de répondre à son obligation de "Know Your Customer" (KYC - référence à la réglementation qui régit le domaine bancaire et impose notamment de mettre en œuvre des procédures visant à identifier les clients et lutter contre le blanchiment). La durée de conservation de ces données est fixée à cinq ans à compter de la fin de la relation contractuelle.

Sur les destinataires des données :

Seul aura accès aux données le personnel spécifiquement habilité à cet effet de la Société Générale ainsi que de son prestataire sous-traitant soumis à des obligations de confidentialité renforcées, pour la vérification de l’authenticité des pièces transmises et l’identification du prospect.

Sur l'information des personnes :

Les personnes concernées sont informées des opérations de traitement conformément aux dispositions de l’article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée par le biais notamment d’une fenêtre d’information surgissante ( pop up ). Un accord exprès à la mise en œuvre du dispositif biométrique est recueilli à ce stade, avant toute initialisation du processus d’entrée en relation.

Sur les droits d'accès, de rectification et d'opposition des personnes :

Les personnes concernées peuvent interrompre à tout moment le processus d’entrée en relation à distance. En cas d’interruption du processus par le prospect, la clôture de la transaction entraîne la purge des données reçues.

En cas de retrait du consentement du prospect au traitement biométrique mis en œuvre, le résultat des scores de comparaison sera supprimé.

Les personnes concernées peuvent exercer leur droit d’accès afin de se voir transmettre le fichier de preuve contenant les scores d’authenticité et de comparaison biométrique, seules données qui ne sont pas automatiquement supprimées une fois la procédure de comparaison biométrique achevée.

Sur la sécurité des données et la traçabilité des actions :

Afin de documenter sa démarche et d’identifier les risques que représente un tel traitement, la Société Générale a réalisé une étude de son impact sur la vie privée des personnes concernées. Les modalités de mise en œuvre et mesures techniques adoptées ont permis de réduire à un niveau de vraisemblance et de gravité négligeable les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité.

Les principales mesures sont les suivantes :

  • les pièces justificatives, flux vidéos, photographies et scores sont échangés d’une manière chiffrée entre l’application mobile, les systèmes du sous-traitant et de ses prestataires et la plateforme de la Société Générale ; tous les échanges de données sont effectués via des protocoles sécurisés permettant de garantir la confidentialité des données ;
  • absence de transmission et de conservation des modèles biométriques utilisés pour la comparaison des photographies, qui se fait en mémoire vive avec un système d’effacement automatique. A cet égard, la Commission souligne la nécessité de s’assurer régulièrement de l’effectivité de cet effacement ;
  • absence de conservation des données biométriques dans le fichier de preuve ; absence de conservation des pièces d’identité par le système de vérification d’authenticité, laquelle se fait en mémoire vive ;
  • en cas de cinq échecs successifs ou d’indisponibilité du dispositif, les personnes concernées sont invitées à faire l’entrée en relation en agence ;
  • les algorithmes de comparaison biométrique ont été réglés afin de disposer du meilleur compromis entre la fiabilité du contrôle et les éventuels faux rejets.

En outre, lors des échanges entre la Société Générale et les services de la Commission, il a été décidé de restreindre l’accès technique à la fonction de comparaison biométrique à la seule finalité du traitement. Seules l’application et la plateforme dédiées à l’entrée en relation avec le client possèdent les certificats logiciels pour utiliser la fonctionnalité biométrique de la plateforme du prestataire, dans le cadre d’une transaction ouverte par le parcours du prospect.

La Société Générale indique ainsi qu’elle ne pourra en aucun cas lancer une comparaison biométrique en dehors du processus d’entrée en relation, ce qui permet de réduire le risque d’accès et de traitement illégitimes par des acteurs internes ou externes. La Commission en prend acte.

La Commission relève également que les mesures de sécurité prévues sont conformes à ses recommandations en termes de minimisation des données, de chiffrement des échanges de données, de contrôle d’accès, de cloisonnement des données et de non-conservation des modèles biométriques, ainsi que de prévention et de gestion d’incidents.

La Société Générale indique qu’elle a conclu des engagements contractuels, et vérifie par des contrôles que ses sous-traitants ont des politiques et des procédures écrites, définies et appliquées concernant la traçabilité des habilitations et accès, ainsi que la sécurité logique et physique des équipements et réseaux. La Commission en prend acte.

En particulier, une politique de gestion des habilitations et des accès encadre fortement l’accès au serveur biométrique du sous-traitant. Ainsi, une fois que son accès est validé par son responsable, l’utilisateur doit disposer d’un token physique (clé USB), fourni par son responsable et porteur d’un certificat logiciel relié à l’annuaire des utilisateurs, ainsi que d’un compte administrateur lui donnant accès aux bastions d’administration.

Egalement, les données biométriques traitées transitoirement par le prestataire et ses prestataires sont séparées et disjointes des données client stockées par la Société générale ; un identifiant est généré pour chaque comparaison biométrique.

Enfin, une gestion des traces et des incidents est mise en place entre le responsable du traitement et son prestataire.

Dans ces conditions, la Commission autorise la Société Générale à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en œuvre d’un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 4 octobre 2017