Récemment, la société américaine MasterCard a dévoilé au monde entier son nouveau système de paiement  : l’utilisation du « selfie » pour valider un achat effectué en ligne depuis un smartphone. Après avoir testé le paiement grâce à la reconnaissance faciale du consommateur à travers plusieurs pays d’Europe, Mastercard souhaite instaurer ce système en France à partir de 2017.

Au delà de l’aspect économique qui sera certainement très favorable, la technique envisagée par la société MasterCard se promet d’être plus sécurisante pour le consommateur. Plus la peine de se préoccuper de son mot de passe ou de ses identifiants au moment de payer : une simple photo devrait suffire pour valider la commande. Psychologiquement, acheter un produit en prenant simplement une photo de soi-même parait être un acte moins négatif et moins contraignant pour le client : gain de temps, rapidité, attirer des consommateurs plus jeunes font partie des objectifs de cette nouveauté. La démarche est alors simple : le client effectue un achat en ligne et rempli ses coordonnées bancaires MasterCard. Pour valider l’achat, il peut utiliser ses empruntes digitales ou la reconnaissance faciale. S’il opte pour la seconde option, la personne devra télécharger une application développée par la société américaine, se prendre en photo afin que le système puisse scanner son visage et l’enregistrer. Dès lors, la validité du paiement reposera sur la photo de la personne qui devra néanmoins cligner des yeux. Cette technique vise alors à remplacer l’authentification par SMS où la fraude y est plus fréquente et plus facile.

L’idée est donc de créer une nouvelle manière d’appréhender le paiement en ligne tout en sécurisant le système puisque les données personnelles du consommateur, et plus particulièrement ses données biométriques, entrent en jeu. Le président de MasterCard affirme en ce sens que les données collectées grâce à la photo resteront enregistrées sur le téléphone.

L’ autorisation préalable délivrée par la CNIL nécessaire

La France a été le premier pays à se doter d’un régime strict en matière de protection des données personnelles englobant alors les données biométriques. D’après la CNIL (Commission Nationale de l’Informatique et des libertés), ce sont des données propres à la personne humaine puisqu’il s’agit de son corps même, de ses caractéristiques qui ne sont a priori pas reproductibles : il est plus difficile de contrefaire les traits d’un visage d’une personne voir impossible de reproduire une emprunte digitale plutôt que son mot de passe ou autres. Ainsi, il existe en France un cadre juridique sévère concernant cette notion prévue par la loi du 7 juillet 1978 « Informatique et libertés ». Selon son article 25, c’est à la Commission que revient la mission d’autoriser ou non le traitement de ce type de donnée afin de « contrôler l’identité des personnes ». Une autorisation préalable est donc nécessaire pour l’opérateur qui voudrait recueillir des données biométriques, mais seulement pour des raisons exceptionnelles. Au même titre que les données personnelles, la récolte doit se faire en conformité à la loi de 1978 et respecter les conditions de liceité des traitements de données à caractère personnel.

La reconnaissance faciale, une pratique discutable affectant les données personnelles

La lutte contre les fraudes perpétuelles (modifications du numéro de téléphone ou intrusion au sein de la boite mail de la victime) est au coeur de ce projet mais ce phénomène peut être contestable sur le terrain des données personnelles. Dès lors que le client se prend en photo, cette dernière est nécessairement conservée. L’article 6 de la loi de 1978 indique les conditions dans lesquelles une donnée peut être conservée et notamment le fait que les données personnelles ne doivent pas l’être pour une durée excédant aux finalités pour lesquelles elles sont collectées et traitées (sauf les cas d’obligation d’archivage).

Cela veut donc dire qu’a priori la durée de conservation devrait simplement servir à l’accomplissement de l’objectif visé. Pour autant, cette durée n’est pas fixée précisément et est donc, par là, modulable au regard de la nature de la donnée personnelle et de sa finalité. En ce sens, la CNIL rappelle que l’achat en ligne est caractérisé par des données bancaires (considéré comme des données personnelles de l’internaute) devant être conservées uniquement le temps de réalisation de l’opération de paiement. C’est sur ce point que l’on peut apercevoir une difficulté lors de l’utilisation du selfie.

Même si l’entreprise assure que les données biométriques ne seront pas enregistrées en tant que telle, le principe de la reconnaissance instantanée du visage nécessite un enregistrement au préalable depuis l’application développée par MasterCard. Ce n’est qu’à partir de ce moment que la reconnaissance automatique lors du paiement pourra se réaliser. Les données correspondant à la photo, et donc à l’individu, seront obligatoirement enregistrées par la société américaine, ce que tempère le directeur de MasterCard en promettant seulement une sauvegarde sur le téléphone.

Néanmoins, cela ne veut pas dire que le système ne pourrait pas donner lieu à une défaillance débouchant sur des fuites et donc, une violation des données personnelles des individus ayant accepté de se soumettre à ce type de paiement. De même, le clignement des yeux est imposé pour éviter la fraude mais que peut-il bien se passer si une vidéo de la personne est réalisée en ne voyant que le début de son buste et sa tête, sans mouvement, mise à part les yeux ? Cette vidéo pourrait-elle être utilisée pour défier le système en place ? Ne pourrait-elle pas faire office de photo devant la caméra du smartphone pour valider le paiement ? Cela s’avère toutefois compliquer à mettre en place puisqu’il faut qu’auparavant l’auteur de cette manoeuvre se procure les éléments caractéristiques de la victime.

Il ne faut pas oublier que MasterCard reste une société américaine et leur difficulté concernant le traitement des données personnelles est bien connue. Les Etats-Unis ont une conception totalement différente de l’Europe sur la collecte des données  : le but de ces firmes n’est d’autre que de récolter un maximum d’informations concernant les individus pour les réutiliser à des fins commerciales.

Au delà de cette probable conservation des données biométriques, cette technique reste extrêmement critiquable au regard de l’usage des données qui en est fait visant l’identification de la personne. Désormais, comme l’a pu souligner le fondateur du Centre sur la vie privée et de la technologie aux Etats-Unis Alvaro Bedoya, un nom pourrai être poser sur le visage de l’individu et serai vraisemblablement identifiable par n’importe quelle caméra installée sur le domaine public par exemple. La personne pourra alors être suivie, son quotidien connu et mémorisé pour ensuite être mieux visé par les publicités à chaque ouverture de page internet notamment.

Un marché néanmoins florissant promettant un avenir plein d’espoir

Les données biométriques représentent désormais les paiements du futur. Outre la reconnaissance faciale bientôt opérationnelle, d’autres paiements sans contact utilisant ces données existent et sont en cours de test. Les entreprises américaines ou européennes, et même françaises, se sont lancées sur ce marché essayant alors de convaincre un maximum de consommateurs. Ainsi, le sourire devra être de rigueur pour procéder à un achat en ligne puisque l’entreprise chinoise Alibaba songe sérieusement à ce procédé appelé « Smile to pay ». Concernant la France, c’est la Banque Postale qui envisage un paiement sur simple reconnaissance vocale du client. Dans cette même direction, Amazon et Google souhaitent soumettre à la CNIL leur brevet permettant de payer grâce aux données biométriques et espèrent pouvoir évoluer sur ce marché déjà bien concurrencé.

Mais c’est peut être la Finlande qui est le pays le plus avancé en cette matière avec le lancement, encore en développement, du système UNIQUL où le client pourra au sein même du magasin régler ses achats grâce à son corps et plus précisément avec un clignement des yeux devant une machine.

L’avenir est donc marqué par une utilisation du corps humain en vue de l’identifier dans tous ses gestes du quotidien.

Sources :

• [ANONYME], « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », cnil.fr, <https://www.cnil.fr/sites/default/files/typo/document/Communication-biometrie.pdf>

• [ANONYME], « Limiter la conservation des données », cnil.fr, https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

• [ANONYME], « Mastercard lance son application de paiement en ligne par selfies », lesechos.fr, mis en ligne le 4 octobre 2016, consulté le 13 octobre 2016, <http://www.lesechos.fr/finance-marches/banque-assurances/0211356998805-mastercard-lance-son-application-de-paiement-en-ligne-par-selfies-2032362.php>

• [ANONYME], «Uniqul, le paiement par reconnaissance faciale”, futura-sciences.com, mis en ligne le 29 juillet 2013, consulté  le 13 octobre 2016,  <http://www.futura-sciences.com/tech/actualites/informatique-uniqul-paiement-reconnaissance-faciale-48051/>

• FIERLA (A.), « MasterCard lance le paiement pas selfie », lefigaro.fr, mis en ligne le 07 octobre 2016, consulté le 13 octobre 2016, <http://www.lefigaro.fr/societes/2016/10/06/20005-20161006ARTFIG00006-mastercard-lance-le-paiement-par-selfie.php>

• ALVARO (M.B.), « Why I Walked Out of Facial Recognition Negotiations », slate.com, mis en ligne le 30 juin 2015, consulté le 13 octobre 2016 <http://www.slate.com/articles/technology/future_tense/2015/06/facial_recognition_privacy_talks_why_i_walked_out.html>