Jusqu’à aujourd’hui, toutes les règlementations en vigueur en ce qui concernait la protection des données personnelles des individus, et plus précisément en matière de biométrie, étaient gérées et contrôlées par la CNIL (Commission Nationale de l’Informatique et des Libertés). Pour rappel, deux autorisations uniques étaient possibles pour la mise en place de systèmes biométriques : AU-052, pour une installation avec l’utilisation d’un badge comme support pour stocker le gabarit biométrique, et l’AU-053, pour une utilisation en empreinte seule avec un gabarit stocké dans une base de données.
Cette réglementation, propre au marché français, va dorénavant disparaitre pour laisser place à un règlement harmonisé qui s’étend à l’ensemble de l’Union Européenne. A partir du 25 Mai 2018, place désormais au RGPD (Règlement Général sur la Protection des Données) qui va modifier principalement les pratiques des entreprises par rapport aux actions menées pour la protection des données personnelles.
Dans un premier temps, il est important de savoir ce qu’est le RGPD.
Il faut savoir tout d’abord qu’il s’agit d’une loi européenne votée par le Parlement Européen, la Commission Européenne et le Conseil de l’Union Européenne. La mise en place de cette loi fait effet à l’évolution des technologies et vise à s’assurer que la protection des données soit optimale. D’une part, le RGPD tend à responsabiliser les professionnels (ceux qui traitent les données) afin qu’ils mettent en place toutes les actions possibles pour protéger les données. D’autre part, à accentuer les droits des individus en leur offrant plus de maitrise sur leurs propres données. De manière générale, ce règlement européen va permettre de réduire les contrôles en amont et en contrepartie renforcer le pouvoir de sanction de la CNIL.
Concrètement de nouvelles mesures vont voir le jour.
Avant toute chose, l’entreprise devra s’assurer que les traitements de données effectués soient en adéquation avec les normes de sécurité qui visent à protéger les données personnelles des individus. Ces derniers devront clairement et de façon explicite donner leur accord quant à la collecte de leurs données personnelles et aussi en avoir l’accès dans les meilleurs délais pour les modifier ou les effacer. D’ailleurs, si celles-ci sont amenées à être subtilisée, leurs propriétaires devront en être informés rapidement.
De plus, un registre de traitement devra être créé par les responsables du traitement (l’entreprise) et être vérifiable à tout moment par les autorités. L’objectif étant de sécuriser les données tout en instaurant des mesures de sécurité particulières pour éviter d’éventuelles violations de base de données. Autre nouveauté, la création de délégués responsables à la protection des données (interne ou externe). Ces derniers s’assureront que tous les traitements de données soient en conformité et informeront/conseilleront la politique générale de protection des informations personnelles.
Des nouvelles mesures qui devront être respectées et pour s’en assurer, la CNIL s’efforcera d’en faire le suivi.
En effet, en ce qui concerne les contrôles, les pouvoirs de la CNIL resteront inchangés. Cette commission continuera à procéder aux vérifications sur place, en ligne, sur audition. Les déclenchements aux contrôles restent inchangés également : programme annuel des contrôles, plaintes reçues, informations divulguées par les médias ou pour faire suite à un précédent contrôle.
En revanche, la CNIL identifiera très clairement deux types d’obligations qui s’imposeront aux professionnels.
Les principes fondamentaux sur la protection des données personnelles seront toujours soumis à des contrôles rigoureux. Par contre, les nouvelles obligations provenant du RGPD seront, dans un premier temps, contrôlées dans le but d’accompagner les entreprises à la bonne compréhension des textes et des règles. Les premiers mois de contrôle n’auront pas pour objectif de sanctionner mais plutôt d’aider à une mise en conformité.
Bien entendu, après les premiers mois de mise en route, le non respect des règles engendrera des sanctions.
Comme expliqué ci-dessus, la CNIL ne sera pas exigent sur les premiers mois concernant l’analyse d’impact pour les traitements de données. En revanche, cette analyse devra être réalisée dans tous les cas où le traitement des données représente un risque élevé : pour les traitements réalisés avant le 25 Mai 2018 n’ayant fait l’objet d’une formalité préalable auprès de la CNIL ou ceux mis en œuvre mais qui ont réalisé une modification significative depuis l’accomplissement de leur formalité préalable. Bien entendu, tout traitement intervenu après le 25 Mai 2018 devra mettre en place une analyse d’impact.
Financièrement, la sanction possible est de 10 000 000€ ou pour le cas d’une entreprise, celle-ci s’élève à 2% du chiffre d’affaires annuel total de l’exercice précédent.
L’analyse d’impact est un élément clé du RGPD, mais en quoi consiste-t-elle ?
Il faut savoir qu’elle est obligatoire pour les traitements qui peuvent engendrer des risques élevés pour les droits et libertés des individus concernés. L’analyse permet d’établir des traitements de données respectueux de la vie privée et de montrer leur conformité au RGPD.
L’analyse d’impact (DPIA) doit être réalisée par le responsable de traitement (s’assure de la conformité au RGPD), le délégué à la protection des données (conseille et se charge de vérifier sa bonne exécution), le sous-traitant (fourni son aide et les informations nécessaires) et les personnes concernées (demander leur avis).
Il faut savoir qu’il n’y a aucune obligation de publication mais cependant il doit être fourni à la CNIL en cas de consultation préalable.
Pour plus d’informations, rendez-vous sur le site de la CNIL : www.cnil.fr
+1 (430) 999-3121 
+33 (0)4 82 82 97 97 
Ce qu’il faut savoir sur le RGPD
BiométrieJusqu’à aujourd’hui, toutes les règlementations en vigueur en ce qui concernait la protection des données personnelles des individus, et plus précisément en matière de biométrie, étaient gérées et contrôlées par la CNIL (Commission Nationale de l’Informatique et des Libertés). Pour rappel, deux autorisations uniques étaient possibles pour la mise en place de systèmes biométriques : AU-052, pour une installation avec l’utilisation d’un badge comme support pour stocker le gabarit biométrique, et l’AU-053, pour une utilisation en empreinte seule avec un gabarit stocké dans une base de données.
Cette réglementation, propre au marché français, va dorénavant disparaitre pour laisser place à un règlement harmonisé qui s’étend à l’ensemble de l’Union Européenne. A partir du 25 Mai 2018, place désormais au RGPD (Règlement Général sur la Protection des Données) qui va modifier principalement les pratiques des entreprises par rapport aux actions menées pour la protection des données personnelles.
Dans un premier temps, il est important de savoir ce qu’est le RGPD.
Il faut savoir tout d’abord qu’il s’agit d’une loi européenne votée par le Parlement Européen, la Commission Européenne et le Conseil de l’Union Européenne. La mise en place de cette loi fait effet à l’évolution des technologies et vise à s’assurer que la protection des données soit optimale. D’une part, le RGPD tend à responsabiliser les professionnels (ceux qui traitent les données) afin qu’ils mettent en place toutes les actions possibles pour protéger les données. D’autre part, à accentuer les droits des individus en leur offrant plus de maitrise sur leurs propres données. De manière générale, ce règlement européen va permettre de réduire les contrôles en amont et en contrepartie renforcer le pouvoir de sanction de la CNIL.
Concrètement de nouvelles mesures vont voir le jour.
Avant toute chose, l’entreprise devra s’assurer que les traitements de données effectués soient en adéquation avec les normes de sécurité qui visent à protéger les données personnelles des individus. Ces derniers devront clairement et de façon explicite donner leur accord quant à la collecte de leurs données personnelles et aussi en avoir l’accès dans les meilleurs délais pour les modifier ou les effacer. D’ailleurs, si celles-ci sont amenées à être subtilisée, leurs propriétaires devront en être informés rapidement.
De plus, un registre de traitement devra être créé par les responsables du traitement (l’entreprise) et être vérifiable à tout moment par les autorités. L’objectif étant de sécuriser les données tout en instaurant des mesures de sécurité particulières pour éviter d’éventuelles violations de base de données. Autre nouveauté, la création de délégués responsables à la protection des données (interne ou externe). Ces derniers s’assureront que tous les traitements de données soient en conformité et informeront/conseilleront la politique générale de protection des informations personnelles.
Des nouvelles mesures qui devront être respectées et pour s’en assurer, la CNIL s’efforcera d’en faire le suivi.
En effet, en ce qui concerne les contrôles, les pouvoirs de la CNIL resteront inchangés. Cette commission continuera à procéder aux vérifications sur place, en ligne, sur audition. Les déclenchements aux contrôles restent inchangés également : programme annuel des contrôles, plaintes reçues, informations divulguées par les médias ou pour faire suite à un précédent contrôle.
En revanche, la CNIL identifiera très clairement deux types d’obligations qui s’imposeront aux professionnels.
Les principes fondamentaux sur la protection des données personnelles seront toujours soumis à des contrôles rigoureux. Par contre, les nouvelles obligations provenant du RGPD seront, dans un premier temps, contrôlées dans le but d’accompagner les entreprises à la bonne compréhension des textes et des règles. Les premiers mois de contrôle n’auront pas pour objectif de sanctionner mais plutôt d’aider à une mise en conformité.
Bien entendu, après les premiers mois de mise en route, le non respect des règles engendrera des sanctions.
Comme expliqué ci-dessus, la CNIL ne sera pas exigent sur les premiers mois concernant l’analyse d’impact pour les traitements de données. En revanche, cette analyse devra être réalisée dans tous les cas où le traitement des données représente un risque élevé : pour les traitements réalisés avant le 25 Mai 2018 n’ayant fait l’objet d’une formalité préalable auprès de la CNIL ou ceux mis en œuvre mais qui ont réalisé une modification significative depuis l’accomplissement de leur formalité préalable. Bien entendu, tout traitement intervenu après le 25 Mai 2018 devra mettre en place une analyse d’impact.
Financièrement, la sanction possible est de 10 000 000€ ou pour le cas d’une entreprise, celle-ci s’élève à 2% du chiffre d’affaires annuel total de l’exercice précédent.
L’analyse d’impact est un élément clé du RGPD, mais en quoi consiste-t-elle ?
Il faut savoir qu’elle est obligatoire pour les traitements qui peuvent engendrer des risques élevés pour les droits et libertés des individus concernés. L’analyse permet d’établir des traitements de données respectueux de la vie privée et de montrer leur conformité au RGPD.
L’analyse d’impact (DPIA) doit être réalisée par le responsable de traitement (s’assure de la conformité au RGPD), le délégué à la protection des données (conseille et se charge de vérifier sa bonne exécution), le sous-traitant (fourni son aide et les informations nécessaires) et les personnes concernées (demander leur avis).
Il faut savoir qu’il n’y a aucune obligation de publication mais cependant il doit être fourni à la CNIL en cas de consultation préalable.
Pour plus d’informations, rendez-vous sur le site de la CNIL : www.cnil.fr
Mastercard devrait généraliser la biométrie d’ici 2019
BiométrieAujourd’hui, la biométrie est entrée de plus en plus dans les mœurs, la plupart des gens connaisse la signification de ce terme alors qu’il y a quelques années, la simple évocation de ce mot laissait place à de l’interrogation. Bien évidemment, l’intégration de capteur biométrique, type MSO CBM pour le déverrouillage des Smartphones a fortement contribué à désacraliser cette technologie. Simplicité, sécurité, la biométrie est maintenant sujette à discussion pour tout ce qui concerne les moyens de paiement comme en témoigne la volonté de MasterCard qui souhaite généraliser son utilisation pour la sécurisation et l’authentification des paiements numériques par carte bancaire d’ici Avril 2019.
Simplifier et sécuriser davantage les transactions en ligne ne sera dorénavant plus une possibilité mais tout simplement une obligation. En effet, le 13 Janvier 2018, la nouvelle Directive sur les Services de Paiement (DSP2) impose aux commerçants et aux banques de présenter une solution capable de fournir une authentification forte du client, surtout pour le paiement supérieur à 30€. Pour répondre à cette directive qui sera mise en place définitivement en Septembre 2019, MasterCard a choisi la biométrie en l’intégrant à leur solution MasterCard Security Check disponible dans 37 pays.
Le choix de la biométrie n’est pas anodin, ni même pour suivre une tendance mais tout simplement parce qu’elle apporte une réelle valeur ajoutée puisqu’au moment de finaliser le paiement, le taux d’abandon diminuerait de 70% par rapport à la confirmation par mot de passe à usage unique d’après Mastercard. Fini les mots de passe complexes, place à l’empreinte digitale, la reconnaissance faciale ou vocale, le scan de l’iris.
Par sa simplicité, sa facilité et sa sécurité, la biométrie nous accompagne déjà aujourd’hui et le sera encore plus dans le futur.
Biométrie et banques, une adéquation parfaite
BiométrieLes solutions de paiement n’ont de cesse d’évoluer dans le but de faciliter la phase de finalisation et par conséquent d’améliorer le confort d’utilisation des consommateurs. D’ailleurs, ces derniers ont déjà adopté certains processus tels que le paiement en ligne ou encore le transfert d’argent directement depuis une application mobile.
Dans une logique d’innovation permanente, le lancement rapide de services est parfois privilégié au détriment de la sécurité, ce qui n’est pas forcément la bonne stratégie. Les cyberattaques sont quotidiennes, et comme en témoigne une récente enquête, 44% des personnes changerait de banque si la sécurité proposée n’est pas optimale. Face à ces nouvelles contraintes, les attentes des consommateurs ont évolué, il faut trouver le compromis entre confort d’utilisation et sécurité. Dans cette optique, la biométrie est sans nul doute la solution idéale pour les établissements bancaires.
Le recours à la biométrie est loin d’être « gadget », bien au contraire, cette technologie offre une réelle alternative pour répondre aux exigences des consommateurs, de plus en plus familiers avec ce moyen de reconnaissance popularisé par l’explosion des Smartphones et le déverrouillage du mobile par empreinte digitale ou reconnaissance faciale. Pour les plus voyageurs d’entre nous, le contrôle aux frontières dans les aéroports utilise également les caractéristiques propres à chacun avec par exemple le système PARAFE d’IDEMIA, leader sur le marché de la sécurisation biométrique, où le voyageur doit s’authentifier en présentant son passeport biométrique puis en posant son doigt sur un capteur biométrique de type MorphoSmart 301.
Aussi, toujours dans l’optique d’allier facilité d’utilisation et sécurité, les premières cartes bancaires biométriques commencent à voir le jour. C’est notamment le cas de la carte bancaire d’IDEMIA intégrant un capteur biométrique. Ainsi, par simple pression du doigt sur celui-ci, l’utilisateur pourra être authentifié de manière certaine lors d’un paiement sans contact et ce pour tous types de montant.
Idemia récompensée pour sa carte de paiement biométrique F.CODE
BiométrieAprès avoir présenté récemment sa toute nouvelle de carte de paiement biométrique, la société IDEMIA, fusion entre Oberthur et Morpho, leader mondial sur le marché de la biométrie, s’est vue remettre le prix de la technologie la plus innovante dans la catégorie « Sécurité – identification – Authentification » pour cette carte biométrique F.CODE Comfort à l’occasion des « Trophées des cartes innovantes 2017 » qui s’est tenu le 12 Décembre dernier à Paris.
Dans un contexte où le paiement sans contact fait parti intégrante de nos habitudes d’achat, comme en témoigne l’étude réalisée par le site www.cartes-bancaires.com nous expliquant que le milliard de transactions sans contact CB a été dépassé le 16 Novembre 2017, la carte F.CODE Comfort arrive à point nommé. En effet, IDEMIA a donc conçu cette carte dans le but d’authentifier le porteur de celle-ci en intégrant la reconnaissance par empreinte digitale offrant ainsi la possibilité de payer au delà de la limite des 30€ fixée actuellement sur le marché Français en ce qui concerne le paiement sans contact.
Dans le cadre du Lab by CB, F.CODE Comfort intègre un capteur biométrique IDEMIA qui par une simple pression du doigt permet d’authentifier de manière certaine le porteur de la carte pour au final proposer à celui-ci un réel confort d’utilisation avec une sécurité au moment du paiement en limitant davantage les fraudes, une rapidité et une praticité indéniable. Il est important de noter que les capteurs d’empreinte digitale IDEMIA sont à l’heure actuelle les plus performants au monde, leurs technologies biométriques sont d’ailleurs certifiées par le FBI comme c’est le cas par exemple du MorphoWave selon la norme PIV (Personal Identity Verification). Les lecteurs biométriques MorphoAccess IDEMIA ou autre enrôleur USB du type MorphoSmart sont reconnus pour leur précision et leur efficacité.
Intégration des capteurs biométriques Idemia dans les systèmes Famoco
BiométrieDu 28 au 30 Novembre 2017 s’est tenu le salon Trustech à Cannes, un évènement international permettant de découvrir toutes les nouveautés du marché du paiement et de l’identification. Ce rassemblement fut l’occasion pour deux grands noms du secteur du paiement et de la sécurisation d’annoncer leur collaboration.
En effet, le français FAMOCO, leader sur le marché des terminaux professionnels sécurisés, et IDEMIA (ex OT-Morpho), leader mondial de la sécurité biométrique, ont unis leur savoir-faire pour proposer une innovation majeure dans un marché de plus en plus digital avec le lancement de deux terminaux Android sécurisés intégrant un capteur biométrique MorphoSmart CBM à reconnaissance d’empreinte digitale. Ces deux dispositifs que sont le FX100 et FX200 ont pour objectif de répondre à une demande forte, notamment des pays émergents, sur la digitalisation des moyens de paiement avec l’assurance d’une sécurisation optimale tout en simplifiant la démarche pour l’utilisateur.
Pour répondre à ces nouvelles exigences, FAMOCO a donc décidé de s’orienter sur la biométrie, un choix non surprenant quand on regarde la tendance de ce marché en pleine croissance. Quoi de mieux que la biométrie pour allier sécurité, rapidité, traçabilité et identification ? D’ailleurs, les chiffres vont en ce sens. Selon une récente étude de l’agence Marketwired, le marché mondial des systèmes biométriques qui représentait 14.9 milliards de dollars en 2015 devrait passer à 41.5 milliards de dollars d’ici 2020.
En ce qui concerne cette innovation franco française, fruit d’une alliance entre FAMOCO et IDEMIA, elle permet de capturer et de lire les empreintes digitales d’un utilisateur directement depuis le terminal FXSeries piloté à distance. Cette identification rapide et certaine, permettra de répondre aux impératifs du secteur bancaire en ce qui concerne le confort et surtout la sécurité de l’utilisateur.