De plus en plus de banques investissent dans des techniques d’identification de pointe, telles que la technologie biométrique, dans le but de mieux protéger les utilisateurs contre les transactions frauduleuses.

Les banques, y compris HSBC, ont été amenées à adopter des régimes réglementaires plus strictes pour l’identification des clients, tels que l’utilisation de la biométrie comme exigence d’identification, car les développements technologiques ont poussé davantage de cybercriminels à se faire passer pour des clients. Des attentes plus élevées, y compris des règles sur le «connaître son client» et des règlements contre le blanchiment d’argent, ont été mis en place pour les institutions financières, alors que beaucoup augmentent leurs investissements dans la technologie et la conformité aux règlements.

Ces attentes sont de plus en plus difficiles à mettre en œuvre avec les nouvelles mesures du RGPD qui approchent à grands pas.

Les banques doivent désormais réévaluer la façon dont elles collectent les données pour identifier les transactions frauduleuses, telles que l’utilisation de la biométrie comme confirmation de l’octroi de données à partager. Traditionnellement, les banques seraient en mesure de saisir des données provenant de différentes zones afin d’identifier si le client a en réalité effectué la transaction lui-même.

Depuis lors, les technologies biométriques ont été considérées comme un moyen intégral d’identifier les individus avec précision, sans que les clients aient à entrer en magasin pour s’identifier.

Cette technologie permet aux clients et aux banques d’effectuer plus facilement les procédures de fraude d’identité. «Les progrès technologiques permettront au processus de « connaître votre client », de devenir plus standardisé et structuré. L’automatisation intelligente, l’intelligence artificielle et l’apprentissage automatique peuvent désormais tous être appliqués au processus », a déclaré Derek Ryan, un partenaire dans la pratique médico-légale de Deloitte, selon le FT.

Les développements technologiques ont conduit à déployer des logiciels d’identification pour de nombreuses banques, c’est le cas avec la protection biométrique. L’utilisation des empreintes digitales, ou même de la reconnaissance faciale ont été inclus dans de nombreuses applications bancaires aujourd’hui pour mieux protéger les utilisateurs et aider les banques à identifier les transactions frauduleuses.

De plus, l’utilisation de technologies telle que la blockchain peut également avoir un impact positif sur l’identification des clients. Le blockchain Ethos étant une plate-forme de transaction ouverte, qui affiche explicitement les propriétaires de fonds et de transactions, peut également s’avérer un avantage pour les banques d’identifier plus facilement les transactions frauduleuses.

D’autres éléments de la technologie entrant lentement dans le secteur bancaire comprennent l’utilisation de ChatBots, qui aidera à identifier et à fournir des services aux clients éloignés de la banque elle-même. Les ChatBots disposeront d’une vaste bibliothèque de données, qui aideront à identifier des clients beaucoup plus rapidement qu’un employé pourrait le faire et ainsi d’atteindre plus vite la racine du problème.

Selon une enquête, l’utilisation de la biométrie a été favorisée par les consommateurs sur l’utilisation des mots de passe, par conséquent les banques sont plus susceptibles de gagner la confiance des clients utilisant la technologie. L’utilisation de la biométrie est donc bénéfique tant pour le client que pour l’organisation, car elle facilite l’exécution de l’identification et des transactions, ainsi et représente une technique fiable pour les deux.

La relation entre IDEMIA (ex-Safran Identity & Security / Morpho) et l’Australie ne date pas d’aujourd’hui. Depuis 2004, le leader mondial sur le marché de la sécurité biométrique fournit des smartgates intégrant de la biométrie aux frontières australiennes avec des résultats très positifs.

Ainsi, face à l’augmentation accrue de voyageurs internationaux sur le sol australien et par conséquent de la potentielle menace terroriste, l’identification certaine des individus par le biais d’une solution biométrique de renommée mondiale est devenue un enjeu de taille. C’est pourquoi, en collaboration avec Unisys Corporation, IDEMIA va fournir un système multi-biométrique de pointe à l’Australie qui les propulsera au rang de modèle en matière de sécurisation des frontières et d’immigration sur le plan mondial.

La solution d’IDEMIA, MorphoBSS, constitue donc le cœur du système. Unisys assurera l’intégration  du système et fournira la solution de gestion de traitement des données biométriques Unisys Stealth. Le système basé sur la biométrie sera utilisé pour le traitement des visas, la vérification aux frontières et les demandes de citoyenneté. De manière plus générale, MorphoBSS procède à l’utilisation d’algorithmes de reconnaissance faciale, de reconnaissance digitale, et en cas de besoin de reconnaissance de l’iris. En plus d’avoir un système ultra évolutif avec plus d’un milliard d’identités possible et de fournir des algorithmes biométriques de très haute performance, ce système offre une grande flexibilité puisqu’il peut s’intégrer à un écosystème existant.

Pour répondre de manière encore plus significative aux exigences du Ministère, IDEMIA pourra s’appuyer sur une présence locale et sur celle également des équipes d’Unisys. IDEMIA dispose aujourd’hui d’un véritable savoir-faire et de technologies de très haute performance, notamment dans des lieux où le niveau de sécurité se doit d’être irréprochable. On peut évoquer notamment l’aéroport d’Orly et son système PARAFE intégrant un lecteur de passeport biométrique et le MorphoSmart 301 pour la vérification des empreintes dans un sas dédié.

Jusqu’à aujourd’hui, toutes les règlementations en vigueur en ce qui concernait la protection des données personnelles des individus, et plus précisément en matière de biométrie, étaient gérées et contrôlées par la CNIL (Commission Nationale de l’Informatique et des Libertés). Pour rappel, deux autorisations uniques étaient possibles pour la mise en place de systèmes biométriques : AU-052, pour une installation avec l’utilisation d’un badge comme support pour stocker le gabarit biométrique, et l’AU-053, pour une utilisation en empreinte seule avec un gabarit stocké dans une base de données.

Cette réglementation, propre au marché français, va dorénavant disparaitre pour laisser place à un règlement harmonisé qui s’étend à l’ensemble de l’Union Européenne. A partir du 25 Mai 2018, place désormais au RGPD (Règlement Général sur la Protection des Données) qui va modifier principalement les pratiques des entreprises par rapport aux actions menées pour la protection des données personnelles.

Dans un premier temps, il est important de savoir ce qu’est le RGPD.

Il faut savoir tout d’abord qu’il s’agit d’une loi européenne votée par le Parlement Européen, la Commission Européenne et le Conseil de l’Union Européenne. La mise en place de cette loi fait effet à l’évolution des technologies et vise à s’assurer que la protection des données soit optimale. D’une part, le RGPD tend à responsabiliser les professionnels (ceux qui traitent les données) afin qu’ils mettent en place toutes les actions possibles pour protéger les données. D’autre part, à accentuer les droits des individus en leur offrant plus de maitrise sur leurs propres données. De manière générale, ce règlement européen va permettre de réduire les contrôles en amont et en contrepartie renforcer le pouvoir de sanction de la CNIL.

Concrètement de nouvelles mesures vont voir le jour.

Avant toute chose, l’entreprise devra s’assurer que les traitements de données effectués soient en adéquation avec les normes de sécurité qui visent à protéger les données personnelles des individus. Ces derniers devront clairement et de façon explicite donner leur accord quant à la collecte de leurs données personnelles et aussi en avoir l’accès dans les meilleurs délais pour les modifier ou les effacer. D’ailleurs, si celles-ci sont amenées à être subtilisée, leurs propriétaires devront en être informés rapidement.

De plus, un registre de traitement devra être créé par les responsables du traitement (l’entreprise) et être vérifiable à tout moment par les autorités. L’objectif étant de sécuriser les données tout en instaurant des mesures de sécurité particulières pour éviter d’éventuelles violations de base de données. Autre nouveauté, la création de délégués responsables à la protection des données (interne ou externe). Ces derniers s’assureront que tous les traitements de données soient en conformité et informeront/conseilleront la politique générale de protection des informations personnelles.

Des nouvelles mesures qui devront être respectées et pour s’en assurer, la CNIL s’efforcera d’en faire le suivi.

En effet, en ce qui concerne les contrôles, les pouvoirs de la CNIL resteront inchangés. Cette commission continuera à procéder aux vérifications sur place, en ligne, sur audition. Les déclenchements aux contrôles restent inchangés également : programme annuel des contrôles, plaintes reçues, informations divulguées par les médias ou pour faire suite à un précédent contrôle.

En revanche, la CNIL identifiera très clairement deux types d’obligations qui s’imposeront aux professionnels.

Les principes fondamentaux sur la protection des données personnelles seront toujours soumis à des contrôles rigoureux. Par contre, les nouvelles obligations provenant du RGPD seront, dans un premier temps, contrôlées dans le but d’accompagner les entreprises à la bonne compréhension des textes et des règles. Les premiers mois de contrôle n’auront pas pour objectif de sanctionner mais plutôt d’aider à une mise en conformité.

Bien entendu, après les premiers mois de mise en route, le non respect des règles engendrera des sanctions.

Comme expliqué ci-dessus, la CNIL ne sera pas exigent sur les premiers mois concernant l’analyse d’impact pour les traitements de données. En revanche, cette analyse devra être réalisée dans tous les cas où le traitement des données représente un risque élevé : pour les traitements réalisés avant le 25 Mai 2018 n’ayant fait l’objet d’une formalité préalable auprès de la CNIL ou ceux mis en œuvre mais qui ont réalisé une modification significative depuis l’accomplissement de leur formalité préalable. Bien entendu, tout traitement intervenu après le 25 Mai 2018 devra mettre en place une analyse d’impact.

Financièrement, la sanction possible est de 10 000 000€ ou pour le cas d’une entreprise, celle-ci s’élève à 2% du chiffre d’affaires annuel total de l’exercice précédent.

L’analyse d’impact est un élément clé du RGPD, mais en quoi consiste-t-elle ?

Il faut savoir qu’elle est obligatoire pour les traitements qui peuvent engendrer des risques élevés pour les droits et libertés des individus concernés. L’analyse permet d’établir des traitements de données respectueux de la vie privée et de montrer leur conformité au RGPD.

L’analyse d’impact (DPIA) doit être réalisée par le responsable de traitement (s’assure de la conformité au RGPD), le délégué à la protection des données (conseille et se charge de vérifier sa bonne exécution), le sous-traitant (fourni son aide et les informations nécessaires) et les personnes concernées (demander leur avis).

Il faut savoir qu’il n’y a aucune obligation de publication mais cependant il doit être fourni à la CNIL en cas de consultation préalable.

Pour plus d’informations, rendez-vous sur le site de la CNIL : www.cnil.fr