La CNIL a, le 29 mai 2017, autorisé neuf établissements bancaires à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale afin de pouvoir évaluer l’intérêt du public pour ces services.
Pour rappel, la CNIL, avant 2016, s’appuyait sur la distinction entre les caractéristiques biométriques dites « à traces » (empreintes de doigts laissés sur un objet) et « sans traces » (le réseau sanguin dans la paume d’une main).
Dorénavant, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes et la distinction se fonde sur le type de stockage.
Depuis le 30 juin 2016, la CNIL distingue entre les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (stockage des données localement) avec ceux qui ne la garantisse pas (le Cloud par exemple).
L’objectif de l’expérience pilote des établissements bancaires est de sécuriser les opérations à distance de gestion de comptes de leurs clients tout en leur offrant une solution d’authentification plus confortable.
Les exigences de la CNIL en matière d’expérimentation, sont bien respectées, à savoir :
la soumission au consentement préalable de la personne concernée ;
- une durée limitée ;
- un périmètre restreint ;
- des garanties en matière de confidentialité des données ;
- l’engagement de présenter un bilan à son issue.
Ainsi, les neuf établissements bancaires ont été autorisés à mettre en œuvre, à titre expérimental, ce dispositif d’authentification par reconnaissance vocale pendant un an et sur un groupe de personnes déterminées.
Précisons par ailleurs que, depuis l’été 2016, la Banque Postale a mis en place une solution intitulée « Talk To Pay », permettant aux internautes de pré-remplir les formulaires de paiement par un module qui authentifie leur voix. En pratique, ils sont appelés sur leur smartphone, prononcent une phrase mot de passe dictée par la boîte vocale et les champs sont automatiquement remplis.