01 avril 2010
La CNIL a autorisé l’expérimentation par Banque Accord d’un système de paiement avec authentification du réseau veineux du doigt.
Pour la première fois, la Commission s’est prononcée sur le recours à une technologie biométrique dans le cadre de l’expérimentation d’une application de paiement, susceptible de concerner un très large public.
Le dispositif, présenté par Banque Accord, permet au porteur de s’authentifier à l’aide du réseau veineux d’un doigt. Les personnes souhaitant participer à cette expérimentation pourront se rendre dans leur agence bancaire afin d’enregistrer le gabarit du réseau veineux de leur doigt dans leur nouvelle carte bancaire. Une fois cette opération réalisée, le porteur pourra, lors d’un achat en magasin, s’authentifier à l’aide de son doigt au lieu de saisir un code secret. Toute manipulation de la carte devenant inutile, il pourra la conserver dans son portefeuille.
La Commission a autorisé cette expérimentation pour une période de 6 mois. Un bilan lui sera présenté à l’issue de cette période.
La CNIL a considéré que l’utilisation de cette technologie était proportionnée et conforme aux préconisations de la CNIL en matière de biométrie. En effet, le réseau veineux est considéré, en l’état de la technologie, comme une biométrie « sans trace », c’est-à-dire non susceptible d’être captée à l’insu de la personne. Par ailleurs, le projet ne prévoit pas de base centralisée de données biométriques, le gabarit du réseau veineux étant conservé sur un support individuel, la carte bancaire. Enfin, l’emploi de cette technologie fonctionne sur la base du volontariat.
Ce nouveau dispositif utilise une carte « sans contact » qui communique directement avec le terminal de paiement (TPE) au moyen d’ondes radio chiffrées et sécurisées.
Les mesures de sécurité ont été jugées satisfaisantes. Le gabarit du réseau veineux circule exclusivement dans un circuit fermé, d’un environnement sécurisé à un environnement sécurisé et il n’est pas conservé par le TPE. Tout risque de géolocalisation est également exclu dans la mesure où aucun numéro unique n’est attaché à la carte ou à son porteur.
L’utilisation « classique » de la carte avec insertion dans le terminal de paiement et authentification avec un code secret est toujours possible.
Source: (http://www.cnil.fr ) Tous « Droits réservés ».