Dans un monde de plus en plus numérique, l'acte d'authentification est un geste fondamental. C'est l'acte que nous réalisons pour nous connecter à un site de banque en ligne, retirer de l'argent sur un distributeur ou réaliser un paiement.

Cet acte peut prendre différentes formes : la saisie d'un code après avoir introduit sa carte bancaire dans un lecteur ou la séquence qu'on ressaisit sur son ordinateur après l'avoir reçue sur son téléphone.

Un acte d'authentification structurant

L'acte d'authentification va donc bien au-delà d'un simple choix technologique : il structure nos accès à des services de notre quotidien et de notre vie numérique. Il est impliquant pour l'utilisateur et doit permettre d'exprimer son consentement tout en restant suffisamment simple pour pouvoir être utilisé par la vaste majorité d'entre nous.

Pour les fournisseurs du service, l'acte d'authentification comme point de passage obligé pour la réalisation ou l'accès à un service, est devenu élément de différenciation. Offrir le moyen le plus simple et le plus universel d'authentification c'est « capturer » le client en définissant un guichet privilégié (voire unique) pour la réalisation d'un service.

La biométrie, une alternative crédible

A ce jeu, les acteurs du monde de l'internet (les GAFA : Google, Apple, Facebook, Amazon) s'opposent aux acteurs traditionnels du paiement. Ces premiers s'évertuent à offrir l'authentification la plus rapide (pour ne pas détourner de l'utilisation d'un service ou renoncer à un achat) alors que pour les seconds, les préoccupations liées à la sécurité et à la protection des données personnelles seront au centre de leurs préoccupations.

L'authentification est donc bien une technologie souveraine, car au cœur même de l'accès de chacun au numérique. Dans ce contexte caractérisé par une perpétuelle innovation en vue d'offrir l'authentification la plus rapide et la plus simple, l'utilisation de la biométrie est présentée par tous les acteurs concernés comme une alternative crédible notamment à l'utilisation des mots de passe.

Quelle mode d'utilisation?

 Mais à l'heure où l'utilisation de la biométrie est évaluée par le Sénat[1] dans le cadre d'une stricte nécessité de sécurité, il est nécessaire de s'interroger sur les conditions d'utilisation de celle-ci.

Hors contexte régalien, la biométrie peut être utilisée à des fins de sécurité, dans le cadre d'applications de paiement et de signature électronique, d'authentification en proximité et en ligne. Dans cette logique d'authentification, l'ensemble des informations nécessaires à l'authentification seront stockées sur un support personnel qui restera en possession de l'utilisateur. La biométrie utilisée dans cette configuration permet de vérifier que le possesseur d'un support personnel en est « bien le bon titulaire[2] », s'inscrivant dans les recommandations du Conseil de l'Europe[3] selon lequel « les données biométriques qui sont uniquement utilisées à des fins de vérification devraient être stockées de préférence sur un support individuel sécurisé de stockage, par exemple, une carte à puce, que détiendrait uniquement la personne concernée. »

Des règles à respecter

 La biométrie ne peut pas être réduite à l'apparente simplicité d'utilisation qu'elle apporte car celle-ci doit être appréhendée comme un synonyme d'adoption par le plus grand nombre. Car plus que la finalité, ou la définition de ce qu'est une biométrie de confort, c'est autour des règles d'implémentation que doit porter le débat. Car pour offrir un certain niveau de sécurité, il faut qu'un certain nombre de règles soient respectées comme notamment l'évaluation des technologies, le choix d'une technologie permettant d'exprimer le libre consentement, l'intégration des problématiques de protection des données personnelles et de la vie privée en amont de la conception du système (démarche de Privacy by Design).

 L'utilisation de la biométrie dans un contexte d'authentification constitue un des enjeux d'aujourd'hui pour l'accès aux services et la réalisation de transactions.

 [1] Proposition de loi visant à limiter l'usage des techniques biométriques, https://www.senat.fr/leg/ppl13-361.html

[2] Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données https://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf

[3] Comité Consultatif de la Convention pour la Protection des Personnes à l'égard du Traitement Automatisé des données à caractère personnel [STCE n° 108] (T-PD) Rapport abrégé de la 21e réunion plénière (Strasbourg, 2-4 février 2005)