|
3/25
Date : 13-04-2024 13:36:43
www.capital.fr/votre-argent/payer-avec-la-paume-de-la-main-ce-nouveau-moyen-de-paiement-qui-pourrait-collecter-nos-donnees-personnelles-1494851
04/04/2024
Payer avec la paume de la main : ce nouveau moyen de paiement qui pourrait collecter nos données personnelles
Outre-Atlantique, Amazon continue son avancée vers un monde digitalisé. Dans certaines enseignes partenaires, il est possible de payer juste en scannant sa main. «Capital» a posé trois questions à Cécile Vernudachi, avocate en droit du numérique pour savoir comment cette solution pourrait s’implanter sur le territoire.
Bientôt, sera-t-il possible de payer sans même sortir sa carte bancaire ou son téléphone ? C’est déjà le cas aux Etats-Unis. L’application Amazon One permet aux clients de scanner leur main en 3d et d'enregistrer ce que l’on appelle une empreinte palmaire ou veineuse. Ainsi, pour éviter les files d’attente dans les magasins partenaires, l’utilisateur passe sa main devant un capteur qui lui permet de régler ses achats. Le géant Amazon a annoncé que ce service a déjà été utilisé plus de 8 millions de fois.
En France, l’entreprise Ingenico, spécialisée dans les terminaux de paiement, tente d’importer ce processus. Invité sur BFMTV en février 2023, Michel Léger, vice-président exécutif mondial du développement des solutions chez Ingenico, défendait cette pratique : «le fait de garder ce geste d'amener la main vers le terminal de paiement est un élément de confiance pour le consommateur».
Cette solution de paiement, de plus en plus répandue aux États-Unis, soulève des préoccupations concernant la protection des données personnelles. Ces empreintes palmaires sont des données biométriques permettant une identification physique ou biologique. En cas de piratage, le risque d’usurpation d’identité serait donc important. Capital a posé 3 questions à Cécile Vernudachi, avocate spécialisée en droit du numérique et des données personnelles dans le cabinet Anders Avocats, pour y voir plus clair.
-Capital : Amazon permet aux Américains de payer avec la paume de leurs mains. Une telle solution pourrait-elle s’importer en France ?
Cécile Vernudachi : Probablement, mais ce serait encadré. Les éditeurs de ces solutions, basées sur des données biométriques et uniques pour chaque individu (ici, le schéma veineux), devront travailler avec les autorités de régulation pour donner un cadre juridique à cette pratique, notamment avec la Commission nationale de l'informatique et des libertés (Cnil). Une telle solution de paiement par empreinte palmaire pourrait donc émerger en France, sur le moyen, voire long terme, sous conditions du respect des règles du secteur bancaire et des données personnelles.
-Quelles devraient être les garanties pour la protection de nos données personnelles ?
Nos empreintes palmaires, utilisées à des fins d’identification, ou d’authentification dès lors qu’elles sont recoupées avec d’autres données personnelles, deviennent des données sensibles. Le principe est que le traitement de telles données est alors interdit, sauf exceptions. Dans le cas du paiement avec la paume de sa main, pour que les entreprises traitent nos données, il faut que le client donne son consentement libre et éclairé. Il faut que l’utilisateur comprenne à quoi il s’engage quand il accepte que cette donnée soit collectée et qu’il soit informé de l’usage qui en est fait.
Ensuite, en 2021, le Comité européen de la protection des données (CEPD) a émis des lignes directrices qui recommandent fortement aux acteurs développant des solutions basées sur de la donnée biométrique de consulter les autorités de contrôle et de recourir à des mécanismes de certification. Notamment en matière de sécurité, et surtout si ces données ne sont pas stockées localement mais sont hébergées à l’extérieur, il faudra a minima démontrer que ces données biométriques sont chiffrées. Elles devront également être stockées sur des serveurs européens, la question de la localisation des données étant fondamentale.
Il est également important de souligner que pour qu’une telle solution innovante, qui analyse le flux veineux, à grande échelle, s’implante en France, une analyse d’impact relative à la protection des données (AIPD) devra être menée. Cette AIPD permet de démontrer que le traitement des données est bien conforme à la législation européenne en matière de protection des données.
Ainsi, l’acteur qui met en place cette solution d'authentification devra répondre à quatre questions. La première est de savoir quel est le but de la collecte de ces données ? Il faut qu’il soit spécifique et légitime (par exemple la sécurité des paiements). La deuxième est de savoir s’il n’y a pas de dispositif moins intrusif que la collecte de l’empreinte palmaire (proportionnalité) ? La troisième est d’examiner quelle est la fiabilité du dispositif (taux d’erreur, mesures de sécurité) ? La quatrième, enfin, est de savoir si le dispositif respecte les droits des personnes : transparence de l’information, effectivité des réclamations (suppression par exemple), question de la durée de conservation de ces données, qui ne doit pas être excessive.
-Les géants de la tech collectent de plus en plus de nos données biométriques (visage, empreinte digitale, yeux…) que font-ils de ces données «sensibles» ?
En principe, les lois françaises et d’autres pays de l’Union européenne obligent, compte tenu de la spécificité de ces données, à ce qu’elles ne puissent être utilisées que pour les seules finalités préalablement annoncées, par exemple l'authentification du porteur de la carte, grâce à son empreinte palmaire. Cette réutilisation est interdite pour un autre motif.
Toutefois, il est parfois compliqué d’avoir une transparence sur l’utilisation qui peut être faite de ces données par des acteurs hors de l’Union européenne. Toute collecte de ces données biométriques pose quand même la question de la surveillance de masse, ou de la constitution d’une base de données gigantesque sur la population européenne qui pourrait être utilisée à des fins diverses (espionnage, désinformation, déstabilisation…).
|
))
Tête bleue
Bronze
Argent
Or
Platine
Titane