Technologie

Vérification d’identité

La reconnaissance faciale
au service de l’activité bancaire

Créé le

20.04.2023

Synonyme d’optimisation et de fluidité, cette technologie répond à bien des obligations réglementaires. Elle connaît cependant des limites et pose des questions d’éthique et de sécurité.

La reconnaissance faciale au service de l’activité bancaire
Luc d'Anterroches
  • Directeur associé BearingPoint

Avec l’essor des néobanques et banques en ligne, la fraude par usurpation d’identité a explosé. En 2019, 45 000 plaintes ou constatations de fraude (faux titres, usurpation) ont été déposées1. Les préjudices financiers pour les entreprises s’élèvent de 5 à 20 milliards d’euros chaque année2.

De son côté, la reconnaissance faciale, déjà déployée dans plusieurs pays à des fins de sécurité dans l’espace public, reste une technologie controversée3. En France, elle émerge dans le secteur bancaire avec un objectif de lutte contre la fraude identitaire et pour assurer les obligations de conformité réglementaire, de plus en plus strictes. Elle permet de répondre à ces nouvelles obligations, notamment celles en matière de conformité lors de l’entrée en relation à distance4. Elle constitue un outil pour lutter plus efficacement contre l’usurpation d’identité dans les parcours à distance, en effectuant une comparaison biométrique entre une photo ou une vidéo du titre d’identité et une vidéo du visage de l’utilisateur en temps réel.

De précieux bénéfices

Plusieurs cas d’usage se démocratisent déjà dans la banque de détails : ouverture d’un compte en ligne, souscription de crédits ou assurances à distance ou encore paiements des achats sur Internet. Et pour cause, les acteurs en retirent de précieux bénéfices. Certains algorithmes se montrent particulièrement efficaces : la solution d’Ariadnext aurait permis à Paymium de réduire de 50 % les tentatives de fraude en sécurisant le processus KYC (Know Your Customer) avec un onboarding client automatisé pour les ouvertures de comptes5. L’automatisation des contrôles et des vérifications d’identité permettrait en outre d’économiser jusqu’à 70 % sur les coûts d’entrée en relation et d’optimiser 20 % du traitement de back-office, selon Docaposte6.

En France, seule la certification des prestataires par l’Autorité nationale de sécurité des systèmes informatiques (ANSSI) remplit les obligations en matière de conformité7. Elle impose un contrôle par une personne physique et n’est donc pas automatisée à 100 %. Néanmoins, les délais de réponse peuvent être extrêmement réduits (moins de cinq minutes).

Les banques peuvent choisir de développer leurs propres solutions de vérification d’identité mais, pour accélérer le time-to-market dans un environnement hautement compétitif, elles recourent à un prestataire externe. Cette solution est particulièrement pertinente dans les modèles d’acquisition d’une clientèle de flux comme les crédits à la consommation. Certaines solutions sont très facilement intégrables aux systèmes informatiques des banques et peuvent être opérationnelles dès trois jours.

Enfin, ces outils rendent les parcours plus fluides ; ils sont élaborés pour « onboarder » le client en évitant toute rupture. Il est en effet plus facile de faire deux vidéos en temps réel depuis son portable que de télécharger les pièces depuis un ordinateur pour les déposer sur un site Internet. Les taux de conversion des parcours sont très élevés (de 85 % à 95 % pour Ubble) et l’amélioration de l’expérience utilisateur générerait des volumes de ventes supplémentaires (+20 % selon Ariadnext).

Si les bénéfices de la reconnaissance faciale sont prometteurs, ils doivent cependant être confrontés aux enjeux que pose cette technologie.

Des exigences variables

Avec les progrès technologiques, les fraudeurs mettent en œuvre des moyens de plus en plus sophistiqués, comme les attaques par présentation ou le deepfake8. Face à ces enjeux, l’ANSSI a publié un référentiel à destination des prestataires de vérification d’identité à distance (« PVID »)9. Il impose de hauts standards pour limiter les risques propres aux manipulations de données et garantir que la vérification d’identité à distance est équivalente à une vérification en face-à-face. La certification PVID est extrêmement exigeante et la procédure très longue (plusieurs mois, 250 normes et quatre audits). Aucun acteur n’est encore certifié à ce jour mais les premières homologations devraient être délivrées dans les prochains mois. Les prestataires discutent avec les autorités d’un possible assouplissement de certaines règles afin qu’elles soient plus cohérentes avec les pratiques observées par le business.

En revanche, cette norme n’est exigée qu’en France. Les standards dans les autres pays européens peuvent être plus souples. Or, avec le règlement eIDAS, une solution qui serait notifiée à la Commission européenne par un autre État européen pourrait parfaitement être implantée en France, sans la contrainte de respecter la norme PVID. Une révision du règlement est en cours et une harmonisation des règles est attendue en la matière.

Par ailleurs, les acteurs ayant recours aux prestataires externes sont dépendants d’un tiers pour le fonctionnement du service bancaire. Cela présente un risque en termes de continuité d’activité. Néanmoins, les procédures d’externalisation des banques sont particulièrement encadrées et le nouveau règlement européen DORA fournit des assurances supplémentaires, en harmonisant les règles de sécurité des réseaux et des systèmes d’information, ainsi que des tiers critiques qui leur fournissent des services de technologies de l’information et de la communication.

Concernant la protection de la vie privée et les risques liés à une fuite de données sensibles, le vol de l’identité biométrique aurait un impact catastrophique pour l’individu victime (paiements frauduleux, opérations pénalement répréhensibles) et, par ricochet, pour la société prestataire (risque d’image et pénalités financières importantes). La norme PVID impose la collecte des données sur des infrastructures sécurisées, leur traitement par des opérateurs situés dans l’Union européenne (UE) uniquement et le stockage sur un cloud certifié SecNumCloud (souverain et sécurisé). En cas de contestation, il appartient aux prestataires de services de rapporter la preuve de la vérification d’identité via le dossier de preuves obligatoirement sauvegardé.

Enfin, des défis techniques doivent encore être relevés par les algorithmes. S’ils sont très performants pour reconnaître les hommes blancs, une étude démontre qu’ils introduisent des biais raciaux ou sexuels et ont plus de difficultés à identifier les personnes à la peau foncée et les femmes10. En effet, les taux de faux positifs ou faux négatifs sont plus élevés pour ces populations et peuvent limiter l’accès aux services ou faciliter l’usurpation d’identité. Pour assurer un réel principe d’égalité et de non-discrimination, ces populations doivent être davantage représentées dans les bases d’apprentissage des intelligences artificielles.

L’identité numérique
en ligne de mire

Le règlement eIDAS, entré en vigueur en 2014, a permis le développement des identités numériques et services de confiance. Seulement, les solutions sont très hétérogènes d’un État à l’autre. L’harmonisation des normes sur le territoire européen est fermement attendue par les acteurs du secteur afin d’éviter un forum shopping11 des prestataires de service et de rendre possible une véritable interopérabilité des solutions sur tout le territoire. La refonte du règlement eIDAS est en cours et, en juillet 2021, l’ETSI (Institut européen des normes de télécommunications) a publié le Standard ETSI TS 119 461, qui serait le socle technique européen pour les services de vérification d’identité à distance.

L’UE souhaite se doter d’un portefeuille d’identité digitale, une plateforme qui donnerait la possibilité à chaque citoyen européen de stocker dans son smartphone son identité numérique et d’échanger des justificatifs de manière sécurisée, tant pour effectuer les démarches publiques que privées. Cela permettrait alors de réaliser toutes les démarches bancaires en ligne en ouvrant son portefeuille digital, dont l’identité aura été créée et vérifiée en amont (par exemple avec la nouvelle carte d’identité nationale électronique française). Les banques auront sans doute de plus en plus recours à un fédérateur d’identité, comme France Connect +, pour offrir aux clients plusieurs solutions de vérification d’identité simples et fiables.

L’essor de la reconnaissance faciale dans l’industrie bancaire devrait se poursuivre massivement. Cette technologie doit néanmoins être maniée avec précaution et mieux encadrée par le législateur européen qui œuvre actuellement, tout comme l’ANSSI française, pour garantir un haut niveau de sécurité des dispositifs. Des avancées significatives sont attendues cette année avec la délivrance des premières certifications PVID en France et la refonte du règlement eIDAS. Cela devrait guider l’industrie pour la décennie à venir. Enfin, considérant le caractère évolutif des techniques de fraude et au nom de la neutralité technologique (qui impose au législateur de ne pas favoriser une technologie), d’autres référentiels verront peut-être le jour pour encadrer l’utilisation de la biométrie à des fins de vérification d’identité, par exemple la reconnaissance vocale.

À retrouver dans la revue
Revue Banque Nº880
Notes :
1 Statistiques du ministère de l’Intérieur, « La nouvelle carte nationale d’identité ». Selon une enquête menée par le Credoc en 2009, les chiffres « noirs » (fraudes ne donnant pas lieu à constatation devant la police) s’élèveraient quant à eux à plus de 210 000 cas par an.
2 Centre des hautes études du cyberespace.
3 La Chine fut pionnière en matière de reconnaissance faciale à des fins de sécurité, dès 2014. En Europe, 11 pays utilisent cette technologie pour sécuriser l’espace public. Ainsi, l’aéroport de Bruxelles a installé en 2017 des caméras de surveillance connectées à un logiciel de reconnaissance faciale, utilisées par la police aéroportuaire. Source : Rapport « Biometric behavioural mass surveillance in EU member States », October 2021.
4 Les articles L. 561-5 et R. 561-1-5 du Code monétaire et financier (CMF) obligent les établissements financiers à identifier et vérifier l’identité de leur client avant toute entrée en relation, soit par des moyens d’identification électronique notifiés à la Commission européenne, soit des moyens certifiés ou attestés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), soit des moyens présumés fiables en vertu de l’article L. 102 du Code des postes et des communications électroniques.
5 Source : IDnow, « Paymium optimise et sécurise son processus KYC ».
6 Présentation institutionnelle du prestataire Docaposte.
7 À défaut, des mesures complémentaires doivent être prises (au moins deux des six mesures énoncées à l’article R. 561-5-2, CMF), par exemple un premier versement depuis un compte établi dans l’UE, l’EEE ou pays tiers à garanties équivalentes en termes de lutte contre le blanchiment et le financement du terrorisme.
8 Manipulation numérique d’une image ou d’une voix réalisée à l’aide de l’intelligence artificielle, qui permet de simuler le comportement d’une personne.
9 Référentiel du 1er mars 2021, version 1.1, disponible sur le site.
10 Étude menée par le MIT, qui a testé trois grands algorithmes (IBM, Microsoft et Face ++) : Perrine Signoret, « Une étude démontre les biais de la reconnaissance faciale, plus efficace sur les hommes blancs », lemonde.fr, 12 février 2018.
11 Pratique des sociétés consistant à s’implanter dans le pays qui sert le plus ses intérêts, par exemple lorsque la réglementation du secteur d’activité est plus souple ou si le taux d’imposition sur les sociétés est très bas.