La nouvelle fonctionnalité que proposera la banque britannique utiliserait un bracelet connecté employant la technologie canadienne Nymi et mesurerait les signaux électriques du cœur avant de les transmettre à l’application mobile de la banque. Les signaux captés par le bracelet sont ensuite analysés par le cellulaire afin de déterminer si elle reconnaît la personne qui s’est préalablement enregistrée.
Ce système optionnel a pour but de pallier la possible défaillance technique des mots de passe traditionnels, en offrant un mécanisme réputé comme étant plus sécuritaire. La banque plaide que les électrocardiogrammes ont l’avantage, par rapport à d’autres mesures biométriques (iris, empreintes digitales), d’être « un signal vivant du corps », ce qui limite les possibilités « de falsification ou d’intrusion ».
La fin des mots de passe traditionnels
De nombreux faits survenus dans le passé soulèvent des questions sur la possible défaillance des mots de passe. On peut notamment penser au CelebGate où des pirates informatiques avaient volé des photos de vedettes sur l’application iCloud. Les pirates avaient réalisé des attaques ciblées visant à récupérer les noms d’utilisateur et les mots de passe afin d’accéder au contenu des comptes utilisateurs.
Une des solutions préconisée à cette recherche d’un accès plus sécurisé à ses comptes en ligne passe notamment par le recours à des mécanismes de biométrie, qui utilisent les caractéristiques physiques de la personne, comme la voix ou les empreintes digitales, pour assurer son identification.
Toutefois, la protection apportée pourrait comporter des risques de dérives pour la vie privée des personnes concernées, car ces renseignements biométriques s’avèrent bien plus personnels et nécessitent une protection plus importante.
Une possibilité au Québec ?
Les lois québécoises disposent de mesures qui encadrent la biométrie de façon relativement stricte. Elles offrent notamment la possibilité de contrôler les mécanismes de reconnaissances employés par les entreprises. La loi sur la protection des renseignements personnels dans le secteur privé, par ses articles 4 et 5, pose le principe de la nécessité des renseignements recueillis.
Les articles 44 et 45 de la loi concernant le cadre juridique des technologies de l’information pointent la nécessité du consentement de la personne avant que ses données personnelles ne soient collectées. La loi spécifie aussi que cette collecte doit recueillir le moins de renseignements possible. L’entreprise devra donc s’assurer de détruire ces renseignements, dès le moment où ceux-ci auront rempli leur mission d’identification de la personne.
L’article 45 ajoute à ces exigences l’obligation de déclarer la création d’une banque de données biométriques à la Commission d’accès à l’information. Cette dernière pourrait alors rendre une ordonnance pour déterminer les modalités de collecte de données, incluant leur gestion, leur conservation et leur destruction. La Commission pourrait également faire le choix de suspendre ou d’interdire la mise sur pied d’une telle banque de données, si elle constate une atteinte au respect de la vie privée.
L’intégration des mesures de reconnaissance biométriques semble inévitable. Le mois dernier, le groupe Royal Bank of Scotland adoptait la technologie « TouchID » d’Apple pour son application mobile. Pour le moment, l’utilisation de la biométrie doit toutefois demeurer une option et non une obligation pour le consommateur, au regard de la sensibilité des renseignements qu’elle contient. Dans les prochaines années, la transparence des entreprises en matière de protection et d’utilisation des données devra être une priorité si elles souhaitent gagner la confiance du public et prouver la fiabilité de ces mesures.