Biométrie : la CNIL approuve une solution de biométrie comportementale
- La CNIL vient d’approuver l’adoption de claviers dotés de dispositifs de biométrie comportementale, basés sur des critères non physiques et permettant l’authentification de l’utilisateur. Pour l’heure, un seul dispositif a été autorisé « à des fins de démonstration » (la société reste non identifiée).
- Ce sont les caractéristiques de « frappe au clavier » (vitesse, espacement de la frappe) qui permettent d’authentifier l’utilisateur. Elles viennent s’ajouter à l’identification traditionnelle par identifiant et mot de passe et « renforcer » le processus d’authentification (accès à des applications Web, à un SI, etc.).
- Pour des raisons de sécurité et par crainte d’un stockage ou d’une utilisation illicite des données de saisie (comme dans le cas de techniques d’authentification biométrique plus généralement connues), l’approbation de ce type de dispositifs se fait au cas par cas, chaque demande d’autorisation faisant l’objet d’une enquête approfondie.
- Le « risque de dispersion des données biométriques » reste au centre des préoccupations de la CNIL, qui s’est assurée de la mise en place de diverses mesures de sécurité : chiffrement du résultat de l'analyse des données, hébergement de la base de données du démonstrateur par la société démonstratrice, absence de logiciel malveillant sur le poste utilisé lors de la démonstration, etc.
- Ce dispositif, encore en phase de test, peut présenter un intérêt pour le secteur bancaire, dans lequel la mise en place d’outils d’authentification forte est nécessaire (notamment dans le cadre d’opérations sensibles). Il s’agit surtout d’une piste alternative d’authentification biométrique, moins contraignante que celle basée sur les critères physiques. Il reste toutefois le problème du stockage des données d’authentification, toujours interdit par la CNIL.