Le paiement biométrique s’installe en France mais comporte des risques

Spread the love
Le paiement biométrique s’installe en France mais comporte des risques

La pandémie a accéléré l’usage du paiement sans contact en France. Avant celle-ci, ce mode de paiement ne représentait que 3% des règlements par carte(1). Avec la hausse du plafond de paiement, passé de 30 à 50 euros, ce sont, au total en 2020, la  moitié des paiements par carte qui ont été effectués  avec le sans contact.

Au même moment, les banques  comme BNP Paribas commencent à proposer des cartes de paiements biométriques à leurs consommateurs, pour accélérer l’adoption de cette nouvelle technologie.

Cela peut être considéré comme la première étape vers la mise en place d’autres moyens de paiement biométriques, telles que la reconnaissance faciale. C’est déjà une réalité en Chine depuis plusieurs années, où par exemple, les clients peuvent utiliser la technologie  de reconnaissance faciale pour payer leurs repas dans certains fast-foods.

publicité

Que se passe-t-il lorsque les données biométriques sont corrompues ? 

Les Français sont très attachés à l’utilisation de la carte bancaire : ils font d’ailleurs  partie des consommateurs européens qui plébiscitent le plus ce moyen de paiement. Avec  l’ajout des options biométriques, au lieu d’un code à quatre chiffres, l’introduction de la  biométrie à travers la carte bancaire est une bonne entrée en la matière pour les  consommateurs français. En effet, avec des options d’identification plus difficiles à pirater qu’un mot de passe classique, c’est la combinaison entre la sécurité et la commodité de la  carte bleue qui permet de faire rentrer ce nouveau moyen de paiement dans les mœurs. 

Aujourd’hui, plus de 85%(2) des consommateurs perçoivent l’authentification via l’empreinte digitale et le scanner rétinien comme les moyens d’authentification les plus fiables, suivis  par le mot de passe classique et les technologies biométriques comme la reconnaissance faciale et la reconnaissance vasculaire. 

Dans le cas d’une cyberattaque classique ou d’une importante brèche de données, un  changement de mot de passe et d’autres données de connexion peut contribuer à freiner la fuite d’informations confidentielles. Les hackeurs peuvent avoir eu accès à des comptes pendant un temps, mais les violations futures peuvent être stoppées. 

Cependant, dans le cas de la biométrie, les choses ne sont pas aussi simples. Les  empreintes digitales tout comme les caractéristiques d’un visage sont uniques et il est donc impossible de les échanger contre une autre identité. Dans l’état  actuel des choses, les risques liés au vol ou à l’utilisation abusive d’informations biométriques sont élevés. Ce n’est donc qu’une question de temps avant que  la criminalité à l’encontre de la biométrie n’augmente, à mesure que l’utilisation de cette technologie se démocratise. 

Aadhar, la base de données centrale indienne qui répertorie les identifiants biométriques tels que les empreintes digitales, a été touchée par une brèche de données en 2018. Une attaque similaire a également visé Nadra, la base de données centrale du Pakistan, qui possède également des marqueurs biométriques sur les citoyens. Bien heureusement, ces bases de données ne contiennent pas encore d’informations biométriques spécifiquement liées aux paiements.

Comment le législatif peut-il arbitrer l’utilisation de la biométrie ? 

En février 2020, l’UE a institué une réglementation autour de la reconnaissance faciale et  de l’intelligence artificielle, dans le but de créer un marché unique des données à travers  l’Europe. Avec les règles mises en place au niveau de la protection de la vie privée prévus  par le RGPD, il est très probable que l’Europe exige que les entreprises travaillant sur les paiements biométriques adhèrent à des normes et à des processus unifiés. 

Cela ne  sera vraisemblablement pas bien accueilli par des entreprises comme Amazon ou  Facebook. Elles chercheront, à coup sûr, à avancer des arguments tels que l’importance  de la protection de leur propriété intellectuelle, et tenteront de s’opposer directement à toutes les tentatives d’intégration d’un cadre normalisé. 

Une autre solution viable serait l’introduction de la biométrie « intraçable ».

Il s’agit, à travers le chiffrement, de transformer de manière irréversible des données biométriques en des données ne contenant aucune information identifiable sur ces mêmes  données biométriques qui ont été fournies au préalable. Cela rend la donnée biométrique impossible à retracer et permet de sécuriser l’accès à des données sensibles.

C’est le cas de NEXUS, un système qui s’appuie sur la biométrie et qui vise à  accélérer le passage des personnes, considérées à faible risque, aux  frontières entre le Canada et les États-Unis. 

Les législateurs doivent s’imposer et faire entendre leur voix. Il existe quelques lois et textes  ici et là, tel que celui de la CNIL de 2019 sur les obligations des organismes qui souhaitent  se doter de dispositifs biométriques pour contrôler ce qu’il se passe sur leur lieu de travail.  Cependant, un effort plus grand de la France et de l’UE est nécessaire pour garantir l’intégrité des technologies biométriques.

Les consommateurs doivent également comprendre que toute nouvelle technologie qui offre ce type de commodité peut représenter des risques relatifs à la confidentialité et la  sécurité. Les paiements biométriques sont tentants, mais sans garantie d’un respect total  de leur intégrité, il est préférable de ne pas utiliser cette technologie en l’état. Et surtout, pour protéger son anonymat, le paiement liquide reste la meilleure solution.

1 Source : l’Observatoire de la sécurité des moyens de paiement (OSMP) 

2 Etude Visa sur les paiements biométriques, septembre 2020

Leave a Reply