Du « Privacy by Design » aux Privacy Rules : accompagner et encadrer le développement des usages autour de la biométrie

On assiste, depuis quelques mois, à un développement de nouveaux usages de la biométrie, utilisée à des fins de sécurité, dans le cadre d’applications de paiement et de signature électronique, d’authentification en proximité et en ligne...

Cette utilisation de la biométrie s’inscrit dans une logique d’authentification permettant de vérifier que le possesseur du support personnel est « bien le bon titulaire  ». Celle-ci se retrouve dans les recommandations émises dans le rapport sur l’avenir des moyens de paiement en France, et la nécessité d’«identifier les évolutions nécessaires des moyens de paiement existants et les innovations qui permettraient d’en créer de nouveaux afin de mieux satisfaire les besoins des consommateurs et des entreprises toutes en améliorant la sécurité et en réduisant les coûts pour l’ensemble des parties prenantes, et ce de manière équitable ».Il s’agit en effet de répondre aux besoins croissants d’une méthode d’authentification simple, universelle et sécurisée, qu’entrainent la dématérialisation croissante des transactions et la multiplication des canaux de distribution (automates bancaires, téléphones et tablettes...).

La frontière devient de plus en plus ténue entre moyen de paiement et moyen d’acceptation

Mais au-delà de la finalité, c’est l’implémentation qui permet de définir un certain niveau de sécurité, d’instaurer la confiance et donc l’appropriation de la technologie. Ainsi une implémentation à des fins de sécurité doit prendre en compte différents paramètres comme l’utilisation d’au moins 2 facteurs, dont un support personnel permettant à l’utilisateur « la maîtrise de sa donnée biométrique  ». Ce support assurera le stockage sécurisé des données biométriques et l’exécution des applications (dont l’algorithme de comparaison et les applications reposant sur l’authentification).
Une implémentation appropriée de la biométrie permet d’en garantir l’intégrité et la sécurité et donc la protection de ses données personnelles. Natural Security qui a été distingué en 2013 « Privacy by Design ambassador », a inscrit les problématiques de protection des données personnelles et de la vie privée dés le commencement de ses travaux en 2008. Le PbD, sans être une norme, vise à instaurer un état d’esprit en s’appuyant sur un certain nombre de grands principes . Cette démarche est en parfaite cohérence avec une démarche de type Privacy Impact Assessment qui apparaît à ce regard plus formelle et va tendre à se généraliser en Europe.
La  démarche de Privacy By Design trouve un écho tout particulier en Europe où, dés 2005, « les données biométriques qui sont uniquement utilisées à des fins de vérification devraient être stockées de préférence sur un support individuel sécurisé, par exemple, une carte à puce par exemple, que détiendrait la personne concernée ». Le standard définit par Natural Security repose sur des spécifications ouvertes à tous les industriels. Ce choix d’ouverture permet la mise en place d’un schéma d’évaluation et de certification permettant de vérifier que les implémentations ont été effectuées dans le respect des règles et des valeurs qui structurent ce standard. S’il s’agit de vérifier l’interopérabilité entre les différentes implémentations effectuées par les industriels, la démarche de certification vérifie quant à elle que les règles de sécurité et de protection des données personnelles ont bien été implantées.
Dans ce prolongement, des règles de conformité, les « Privacy Rules » viennent compléter le dispositif en engageant le responsable de traitement à une utilisation respectueuse de la protection des données personnelles, afin d’éviter, par exemple, la constitution de base de données biométriques.

D’autres dimensions de l’utilisation de la biométrie restent à discuter. Leur évaluation reste un point clé. On peut souligner le projet de la Biometrics Alliance Initiative , financé par des fonds européens, qui vise à développer un référentiel d’évaluation des technologies biométrique, dans le champ non-régalien afin de définir ce qu’on est en droit d’attendre en termes de performances, d’interopérabilité et de sécurité.
L’utilisation de la biométrie dans un contexte d’authentification constitue un des enjeux d’aujourd’hui pour l’accès aux services et la réalisation de transactions. La démarche de Privacy by Design est une invitation à intégrer la dimension sociale dans la conception d’une technologie. Elle devient dés lors une caractéristique à part entière « Not just good business, but good for business  ».

Stockage / Alliance