La carte de paiement à l’heure de la biométrie

La Cnil a récemment autorisé l’expérimentation d’un dispositif de paiement biométrique sans contact [1] . Le gabarit du réseau veineux du doigt est enregistré dans la puce de la carte bancaire. Celle-ci communique grâce à un réseau sans fil avec le terminal de paiement électronique (TPE). Pour chaque paiement, le porteur s’authentifie à l’aide de son doigt, en lieu et place, de la saisie du code secret.

À l’occasion de l’examen de ce dispositif,  la Cnil a émis des préconisations sur :

• la sécurité : la communication entre le TPE et la carte sans contact doit s’effectuer dans un environnement sécurisé.
• la géolocalisation : aucun identifiant unique ne doit être attaché au porteur ou à sa carte afin de rendre impossible tout suivi de ses déplacements. L’analyse des paiements effectués pourrait permettre de géolocaliser le porteur (en temps réel ou a posteriori). Dans le cadre de cette expérimentation, le numéro généré à chaque transaction étant différent, il n’y a donc pas de risques de géolocalisation.
• la captation de l’information : la personne doit à tout moment pouvoir désactiver la fonction communication sans fil de la carte afin de rester maître du support ;
• l’interopérabilité : l’usage « classique » de la carte bancaire avec insertion dans le TPE et authentification à l’aide d’un code secret doit rester possible.