L'Agence de presse de l'innovation

La biométrie désormais à l’heure du RGPD

Article publié dans le site d'actualités Infoprotection.fr - Le 12 mai 2022

Qu’il s’agisse de systèmes de contrôle d’accès ou d’identification distante, tous les systèmes biométriques ont à cœur de stocker les données personnelles dans un appareil que détient l’utilisateur. Les applications se diversifient et se massifient.

Reconnaissance faciale, reconnaissance de l’iris, lecture d’empreintes digitales, de la paume de la main, du système veineux… les systèmes biométriques d’authentification se sont longtemps contentés de diversifier leurs techniques et les perfectionner sur des marchés de niche. Mais plusieurs facteurs sont venus bouleverser ce petit monde. D’une part les Gamam (Google, Apple, Meta, Amazon, Microsoft) ont fait exploser à plusieurs milliards le nombre de systèmes biométriques grâce aux lecteurs d’empreintes digitales et aux systèmes de reconnaissance facial à bord des smartphones. D’autre part, l’entrée en vigueur du Règlement européen sur la protection des données à caractère personnel (RGPD) le 25 mai 2018, est venue remettre en cause la plupart des systèmes de contrôle d’accès employant une centralisation des données biométriques personnelles.

Sur l’écran de ce lecteur de la paume de la main, un gabarit aide l’utilisateur à positionner correctement la main afin de faciliter la lecture biométrique. © Abiova

Le RGPD incarné dans les technologies

« En contrôle d’accès, le marché s’est considérablement rétréci depuis l’entrée en vigueur du RGPD, constate Pascal Lentes, PDG d’Abiova qui propose des solutions biométriques pour le contrôle d’accès, notamment des lecteurs d’empreinte digitale, de la forme de la main et du réseau veineux. Pour sa part, la typologie des lecteurs biométriques établie par la Commission nationale de l’informatique et des libertés (CNIL) semble privilégier les lecteurs de type 1 [https://www.cnil.fr/fr/le-controle-dacces-biometrique-sur-les-lieux-de-travail], c’est-à-dire ceux qui sont capables de lire les données stockées dans un support matériel que porte l’utilisateur. Le lecteur va alors comparer les données biométriques de la personne qui se présente au contrôle d’accès avec celles qui sont dans le badge qu’elle porte. » Sauf exception (sites militaires, nucléaires, OIV…), les systèmes de contrôle d’accès n’ont plus le droit de stocker les données biométriques des salariés dans une base de données centralisée.

« Du coup, certains clients préfèrent réduire leur sécurité en se contentant de simples lecteurs de badge », déplore Pascal Lentes qui, pour tenir compte de la crise sanitaire due à la Covid-19, a lancé Abiokey III, un lecteur biométrique de la paume de la main sans contact. Ce qui élimine les problèmes d’hygiène que présentent les systèmes antérieurs puisque les mesures de la main sont effectuées par une caméra. Beaucoup moins intrusif que la reconnaissance faciale, ce terminal embarque des algorithmes de Machine Learning de reconnaissance visuelle ainsi que les toutes dernières technologies de vision 3D. « Un écran offre à l’utilisateur un gabarit qui le guide dans le positionnement de la main afin de fiabiliser la lecture », explique Pascal Lentes. Ajoutons que la reconnaissance de la main de l’utilisateur est réalisée en moins d’une seconde.

STid prépare pour cet automne un système de contrôle d’accès comportant une caméra de reconnaissance faciale. © STid

Lecteur hybride à reconnaissance faciale et badges virtuels

De son côté, STid développe pour cet automne un lecteur hybride de badge qui embarque une caméra de reconnaissance faciale. « Concrètement, l’appareil lit les données biométriques 3D puis il vérifie la correspondance entre ces données personnelles et le visage de la personne qui est physiquement présente devant le lecteur. La caméra est totalement visible par l’utilisateur. Celui-ci n’est donc pas pris par surprise, précise Baptiste Dupart, responsable commercial France de STid. Au niveau de l’installation du système, la caméra nécessite de lire du bas vers le haut afin de convenir aussi bien à une personne debout qu’à un salarié en fauteuil roulant. » Pour l’heure, STid en est à la validation d’une technologie de caméra vidéo utilisée, entre autres, dans les voitures autonomes afin de prévenir l’assoupissement du conducteur au volant. À aucun moment, les données personnelles ne sont stockées par le système.

Depuis quatre ou cinq ans, le STid fait évoluer son offre STid Mobile ID de badges virtuels ou provisoires. Avantage du badge dématérialisé, il élimine les problèmes d’approvisionnement en badges physiques, tout en parvenant à renseigner la biométrie de l’utilisateur par deux modes d’authentification. Le premier ne fonctionne que lorsque l’utilisateur déverrouille son smartphone en activant automatiquement son lecteur biométrique (empreintes digitales, reconnaissance faciale) ou son code PIN. Quant au second mode, il reéclame de déverrouiller le smartphone et de cliquer sur le badge virtuel pour « sous-traiter » une reconnaissance biométrique avant de communiquer avec le lecteur de contrôle d’accès. « Lorsque nous livrons les badges virtuels, nous nous assurons qu’il s’agit de la bonne personne en envoyant d’abord un code PIN confidentiel par mail ou par note d’information sur l’Intranet de l’entreprise, décrit Baptiste Dupart. Ensuite, la personne tape son code PIN pour télécharger le badge. À ce moment, le badge virtuel est éligible à la reconnaissance faciale de son smartphone. »

Identification distante par reconnaissance faciale

Secteur de la biométrie en pleine émergence, l’identification distance sous-traite également la lecture du vivant au smartphone pour viser les applications en ligne à très hauts volumes d’utilisateurs. En témoigne Electronic ID, une entreprise créée à Madrid en 2013 qui emploie une centaine de salariés après avoir levé 2 millions d’euros. Face à des géants comme l’Imprimerie nationale, Gemalto, Idemia ou Thales, le système de la société espagnole a, d’emblée, développé son système d’identification biométrique non pas à base de photo mais de vidéo. « Commercialisée depuis 2016, notre technologie est tout juste homologuée. Celle-ci procède d’abord au contrôle automatique d’une carte nationale d’identité ou d’un passeport puis au contrôle facial de son porteur, à la comparaison entre la prise d’images et la photo sur le document d’identité, souligne Cyril Drianne, directeur France d’Electronic ID. Enfin, le système apporte une détection du vivant. » On s’en doute, des algorithmes de Machine Learning valident automatiquement que les documents sont corrects. Ensuite, selon les exigences de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le service d’Electronic ID recourt à un contrôle humain pour la décision finale de l’identification à distance. « Plus de 120 agents valident, in fine, les identifications. Nous identifions plus de 5 millions de personnes par an. Le processus prend moins de trois minutes », assure le directeur France d’Electronic ID qui vend ses services pour aider les banques bancaires (90 % des banques espagnoles), services Internet (location de voiture en ligne), plates-formes de crypto-monnaies et autres fintechs à valider l’ouverture de comptes clients. Surtout, la société espagnole a décroché un fabuleux contrat : l’identification distante auprès du GIE Sesam-Vital en France. Les premiers déploiements devraient démarrer cet automne.

Electronic ID va déployer à partir de cet automne son système d’identification distante par reconnaissance faciale auprès du GIE Sesam-Vitale. © Electronic ID

Identification vocale

Encore plus émergente, la biométrie vocale cherche à passer de l’expérimentation à la commercialisation. Tel est, du moins le cas de la start-up lilloise Whispeak, créée en juin 2020 après deux ans d’incubation au sein du start-up studio Alacrité. Ayant levé 1,2 million d’euros, la jeune pousse se positionne sur le marché de l’identification biométrique et de la relation client. « Nous stockons les données d’identification vocale sur le mobile de la personne ou sur son PC ou encore sur un serveur qui n’est utilisable que grâce à une clé de chiffrement qu’elle est la seule à contrôler, décortique Jean-François Kleinfinger, PDG de Whispeak qui, ainsi, se conforme au RGPD. Pour l’heure, nous n’avons pas déployé de projet opérationnel. Mais nous réalisons des expérimentations diverses. Comme l’intégration de l’identification vocale dans des systèmes de gestion des identités ou d’orchestration des accès (IAM/CIAM) pour des accès distants en raison de la généralisation du télétravail. » Objectif : vérifier que la personne qui se connecte au système d’information de l’entreprise est bien légitime. Autre expérimentation : assister les forces de police dans leurs enquêtes judiciaires pour comparer les différentes signatures vocales d’une même personne collectées sur différents appareils et durant différentes écoutes.

 

Erick Haehnsen