Le règlement délégué de la Commission du 27 novembre 2017 complétant la deuxième directive sur les services de paiement (DSP 2) par des « normes techniques de réglementation » (RTS) fixe les règles auxquelles devront se conformer dès le 14 septembre 2019 les établissements gestionnaires de comptes, afin de garantir l'authentification forte du client. L’authentification forte doit reposer sur au moins deux facteurs, appartenant à deux catégories distinctes : un élément de connaissance (mot de passe, code PIN), un élément de possession (token, mobile, carte) et un élément d’inhérence (empreinte digitale, reconnaissance faciale). Le groupe Crédit du Nord achève actuellement de tester la biométrie vocale, qui relève de cette dernière catégorie, afin de sécuriser l’accès aux comptes du client. Entretien avec Ludovic Van de Voorde, directeur des clientèles Professionnels et Particuliers, Paiements et Innovation du Groupe Crédit du Nord.
Vos tests sur la biométrie vocale ont-ils été initiés, voilà deux ans, dans le but de mettre le groupe en conformité avec les contraintes réglementaires de la DSP2 ? Ou est-ce un axe de recherche et développement plus ancien ?
En tant qu’institut bancaire, le groupe Crédit du Nord répond bien entendu aux exigences de la réglementation, mais le sujet de la biométrie vocale figure depuis longtemps dans nos projets de développement. En fait, nous sommes aujourd’hui dans une logique d’accélération de la mise en œuvre de ces solutions, compte tenu des évolutions de la réglementation.
Pourquoi avoir fait le choix de la biométrie vocale, plutôt que d’autres méthodes d’authentification forte ?
Il s’agit de la méthode d’authentification qui nous semblait la plus facile d’utilisation pour nos clients. Elle relève d’une logique très simple : l’enrôlement de la personne par la voix, transmise depuis un smartphone. Il n’est pas nécessaire d’envoyer de nouveaux codes spécifiques, ni de disposer d’outils supplémentaires. La biométrie vocale est totalement gratuite et très rapidement opérationnelle. Elle est l’une des technologies biométriques les plus avancées et les plus robustes aujourd’hui. Alors que les capteurs digitaux des smartphones actuels étudient 25 à 35 paramètres de l’empreinte digitale, la voix s’analyse avec environ mille paramètres ! En ce qui concerne la biométrie faciale, les avancées sont contrastées : sur les téléphones grand public disposant d’une caméra, on peut utiliser une trentaine de paramètres ; sur les téléphones dernier cri, on s’approche des mille paramètres, comme la biométrie vocale, mais tout le monde n’a pas ce type de device !
La biométrie vocale est une méthode qui n’exclut personne : il suffit d’avoir un micro pour que la technologie fonctionne. Avec l’empreinte digitale, le client doit avoir un smartphone compatible. Pour la biométrie faciale, il lui faut une caméra frontale adaptée sur son téléphone. Le choix de la biométrie vocale est donc une question de coût, de sécurité, et de matériel.
Mais attention ! La biométrie vocale n’est pas la reconnaissance vocale. La biométrie vocale permet de s’authentifier de la manière la plus sécurisée et la plus forte possible, tandis que la reconnaissance vocale reconnaît une opération demandée : solde de compte, opération de virement, etc.
Comment vos tests se déroulent-ils ?
Nous avons l’habitude de tester nos solutions auprès des collaborateurs de nos filiales régionales. Le groupe Crédit du Nord est composé de huit banques ancrées au cœur des territoires. Ce modèle régionalisé, efficace et pertinent pour nos clients et nos collaborateurs, est adapté à l’environnement et au tissu économique local, dans une logique de circuits courts. Cela nous permet de mener des tests très rapidement, et de manière très agile. Nous expérimentons donc depuis deux ans la biométrie vocale auprès des comptes de collaborateurs et de retraités du groupe Crédit du Nord. L’expérimentation s’achèvera à la fin du mois de mai, pour une mise en œuvre fin 2019. Le client peut opter pour l’authentification par la voix, ou continuer d'utiliser le mot de passe. Aujourd’hui, un client sur deux accepte d’utiliser la biométrie vocale pour s’authentifier. Il doit d’abord répéter une phrase quatre ou cinq fois, avec sa voix et en rappelant son mot de passe, afin de déclencher la procédure d’enrôlement. Le parcours client est ensuite très fluide et fiable, même quand il y a un peu de bruit. Nous n’avons que des retours positifs de la part de nos clients collaborateurs.
Pendant la durée de notre expérimentation, l’authentification par la voix est couplée avec l’authentification par le numéro de téléphone de l’appelant, qui doit se connecter à notre Centre Expert Multimédia.
Seules les huit banques du groupe Crédit du Nord et BPCE ont fait le choix de développer la biométrie vocale. Pourquoi ?
Ce sont les banques qui ont obtenu l’agrément de la Cnil en 2017, avant l’entrée en application du Règlement général sur la protection des données (RGPD) en mai 2018. Pour toute utilisation d’un système biométrique, il fallait obtenir l’autorisation de la Cnil. Depuis mai dernier, nous nous conformons aux nouvelles règles du RGPD. Nous avons produit une étude d’impact sur la vie privée, et expliqué de quelle manière la donnée personnelle allait être traitée.
