La CNIL s’ouvre (un peu) à l’authentification vocale des clients bancaires
Nouvelle avancée pour l’authentification biométrique vocale en France : la CNIL vient d’autoriser neuf établissements bancaires à tester cette technologie. Malgré les précautions d’usage prises par la commission, qui précise bien qu’il s’agit d’une initiative « à titre expérimental », force est de constater qu’elle s’ouvre un peu plus à ce mode d’identification controversé.
En dépit des craintes déjà exprimées vis-à-vis de cette technologie, et des processus d’authentification biométrique plus généralement, la CNIL autorise neuf établissements des groupes BPCE et Crédit du Nord à mener des tests. Les processus retenus s’appuieront sur une phrase de passe énoncée vocalement.
Du côté de BPCE, il s’agira de permettre aux clients de s’authentifier de façon biométrique lors d’un contact avec le centre d’appels de la banque et sur leur application de m-banking. Dans les deux cas, l’authentification consiste à remplacer le mot de passe par une phrase de passe. Le pilote concernera 400 clients volontaires de plusieurs Caisses d’Epargne.
Pour le groupe Crédit du Nord, seul l’accès au Serveur Vocal Interactif est concerné. Chaque filiale du groupe enrôlera jusqu’à 1 000 clients. Les deux groupes ont choisi d’utiliser la technologie développée par Nuance Communications.
Notre Analyse : La biométrie vocale encore à ses débuts en France
Ces tests, qui satisfont aux exigences de la CNIL relatives à la biométrie, sont possibles car l’empreinte vocale de référence sera stockée localement sur le téléphone mobile ; dans le cas de l’appel sur le SVI, l’empreinte vocale stockée dans une base de données sera sécurisée par un secret connu du seul utilisateur final. Il s’agit d’une phase pilote d’un an, décrite essentiellement comme un moyen de tester l’appétence des clients pour ce mode d’authentification.
Il faut cependant souligner que l’on est encore loin des conditions propices à une généralisation : d’abord, il s’agira de clients déjà connus et/ou volontaires. En outre, la phase d’enrôlement reste complexe : nécessité de renvoyer une autorisation signée à la banque, laquelle renvoie alors le client vers le parcours qu’il aura choisi (application mobile spécifique à télécharger ou numéro de téléphone spécifique à composer) ; processus à la fin duquel l’empreinte vocale pourra enfin être enregistrée.
A La Banque Postale, TalkToPay a été autorisée en 2016, marquant une première étape vers l’adoption par les banques de ce type de services.