Publications

La CNIL autorise des traitements de données biométriques à des fins d'authentification de transactions dans le secteur bancaire

Le 29 mai 2017, la CNIL a annoncé qu’elle a autorisé neuf établissements bancaires à mettre en œuvre, à titre expérimental, un système de sécurité basé sur la reconnaissance vocale qui a pour but de simplifier les procédures obligatoires d'authentification des utilisateurs lors du traitement de transactions financières.

La CNIL a considéré que ces projets étaient conformes aux règles applicables en matière de protection des données à caractère personnel telles que le consentement préalable de la personne concernée, la durée limitée de conservation des données, le périmètre limité du traitement, les garanties en matière de confidentialité des données et l'engagement de présenter un bilan au terme de la période d'expérimentation.

Un tel traitement de données effectué à titre expérimental doit garantir que la personne concernée aura le contrôle de ses données biométriques. A cet égard, la CNIL rappelle que les données biométriques doivent être stockées dans un appareil en possession de la personne concernée ou dans une base de données centralisée, sous une forme cryptée, étant alors précisé que seule la personne concernée doit posséder la clé permettant de décrypter les données. Suivant la même tendance, d'autres établissements bancaires ont commencé à utiliser des systèmes d'authentification basés sur des selfies (un système d’authentification biométrique qui confirme l’identité d’une personne en utilisant une technologie de reconnaissance visuelle via un selfie pris par cette personne) afin de permettre à leurs clients d'accéder à leurs comptes bancaires.

En vue de l'application effective en mai 2018 du Règlement général sur la protection des données, la CNIL rappelle aussi que la mise en œuvre d'un traitement de données ayant recours à un outil de reconnaissance vocale ou d'autres outils utilisant des données biométriques (e.g. empreintes digitales et photographies) devra faire l'objet d'une analyse d'impact relative à la protection des données menée par le responsable de traitement-- i.e. une analyse complète de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

La capacité de la CNIL à comprendre et prendre en considération l'appétence des entreprises pour les outils de traitement de données innovants utilisant des données biométriques est illustrée par ces projets expérimentaux. Les établissements bancaires ayant des activités en France ainsi que, plus généralement, les entreprises pour lesquelles un système robuste d'authentification des clients est essentiel devraient évaluer l'opportunité de mettre en œuvre de nouveaux outils d'authentification de manière à simplifier l'interaction avec leurs clients tout en assurant un niveau élevé de sécurité, en conformité avec les règlementations en matière de protection des données à caractère personnel.

Lawyer Contacts

For further information, please contact your principal Firm representative or one of the lawyers listed below. General email messages may be sent using our "Contact Us" form, which can be found at www.jonesday.com/contactus/.

Olivier Haas
Paris
+33.1.56.59.38.84
ohaas@jonesday.com

Daniel J. McLoon
Los Angeles
+1.213.243.2580
djmcloon@jonesday.com

Mauricio F. Paez
New York
+1.212.326.7889
mfpaez@jonesday.com

Undine von Diemar
Munich
+49.89.20.60.42.200
uvondiemar@jonesday.com

Hatziri Minaudier, collaboratrice du bureau de Paris, a contribué à la rédaction de cette Alerte.

Jones Day publications should not be construed as legal advice on any specific facts or circumstances. The contents are intended for general information purposes only and may not be quoted or referred to in any other publication or proceeding without the prior written consent of the Firm, to be given or withheld at our discretion. To request reprint permission for any of our publications, please use our "Contact Us" form, which can be found on our web site at www.jonesday.com. The mailing of this publication is not intended to create, and receipt of it does not constitute, an attorney-client relationship. The views set forth herein are the personal views of the authors and do not necessarily reflect those of the Firm.