« Smile to pay » : le système de paiement par reconnaissance faciale de Mastercard suscite des inquiétudes
Rita Matulionyte, Macquarie University
Le système « smile to pay » (payez avec un sourire) de Mastercard, dont le lancement a été annoncé la semaine dernière, est censé faire gagner du temps aux clients à la caisse. Il est à l’essai au Brésil, et de futurs prototypes sont prévus pour le Moyen-Orient et l’Asie.
Mastercard met en avant les arguments suivants : sa technologie sans contact permettra d’accélérer les transactions, de réduire les files d’attente dans les magasins, et d’améliorer la sécurité et l’hygiène dans les entreprises. Mais ce système suscite des inquiétudes en matière de confidentialité, de stockage de données, de criminalité et de potentiels « biais ».
Sommaire de l'article
Comment fonctionnera-t-il ?
Le système de paiement biométrique de Mastercard donnera à ses clients la possibilité d’utiliser la reconnaissance faciale pour effectuer des transactions financières, en associant les systèmes d’authentification biométriques de diverses entreprises tierces à ses systèmes de paiement.
Selon un porte-parole de Mastercard, l’entreprise a d’ores et déjà développé des partenariats avec NEC, Payface, Aurus, Fujitsu Limited, PopID et PayByFace. D’autres seront prochainement annoncés.
« Les fournisseurs doivent obtenir une certification délivrée par un laboratoire indépendant, attestant qu’ils répondent aux critères du programme, avant d’être considérés », explique Mastercard. Cependant, les détails de ces critères n’ont pas encore été rendus publics.
Selon certains médias, les clients devront installer une application qui les prendra en photo et enregistrera leurs données bancaires. Ces informations seront sauvegardées et stockées sur les serveurs des fournisseurs externes.
Au moment de passer à la caisse, le visage du client sera scanné et comparé aux données stockées. Une fois son identité vérifiée, les fonds seront prélevés automatiquement sur son compte. L’option « payer d’un signe de la main » est en fait similaire : quand le client agite la main en regardant la caméra, c’est son visage qui est scanné, et non sa main.
Des technologies d’authentification similaires sont déjà intégrées aux smartphones (face ID) et ont été mises en place dans de nombreux aéroports, y compris en Australie avec les « smartgates » » (portiques intelligents).
La Chine a commencé à utiliser des systèmes de paiement biométriques dès 2017. Mais Mastercard est parmi les premiers à lancer cette technologie sur les marchés occidentaux. L’entreprise entre ainsi en concurrence avec le système « pay with your palm » (payez avec votre paume) utilisé par les caisses automatiques d’Amazon Go et dans les magasins de la chaîne Whole Foods, achetée par le mastodonte du e-commerce aux États-Unis.
Ce que l’on ignore encore
Il existe encore beaucoup de zones d’ombre concernant le fonctionnement exact du système de Mastercard. Quel sera le degré de précision de la reconnaissance faciale ? Qui aura accès aux bases de données biométriques ?
Selon le porte-parole de Mastercard, les données des clients seront stockées par l’un ou l’autre de ses fournisseurs de technologies biométriques sous forme de fichiers cryptés, et seront retirées de la base de données dès que le client « manifestera le souhait de résilier son contrat ». Mais comment s’assurer du retrait des données si Mastercard n’y a pas directement accès ?
Naturellement, la protection de la vie privée est au cœur des inquiétudes suscitées par ce système, surtout au vu du nombre de fournisseurs extérieurs potentiels.
Heureusement, les clients de Mastercard auront le choix d’utiliser ou non le système de paiement biométrique. Toutefois, les détaillants pourront décider de ne pas proposer cette option ou, à l’inverse, de l’utiliser à l’exclusion de tout autre mode de paiement.
Les technologies de reconnaissance faciale utilisées dans les aéroports et par les services de police ne laissent en revanche que rarement le choix aux usagers.
On peut supposer que Mastercard et les fournisseurs de données biométriques partenaires de l’entreprise demanderont son consentement au client, comme l’exigent la majorité des lois sur la protection de la vie privée. Mais les clients sauront-ils ce qu’ils autorisent  ?
En fin de compte, les fournisseurs de technologies biométriques auxquels s’associera Mastercard décideront de la manière dont seront utilisées les données, de la durée de leur exploitation, du lieu où elles seront stockées, et des personnes autorisées à les consulter. Mastercard se contentera de sélectionner des fournisseurs « dignes » d’être acceptés comme partenaires, et de déterminer les critères minimaux qu’ils devront remplir.
Les clients qui voudront disposer de ce mode de paiement devront consentir à toutes les conditions d’utilisation et de protection des données correspondantes. Et, comme l’ont fait remarquer plusieurs sources, Mastercard pourra se servir du système en l’intégrant à ses offres de fidélité et en faisant des recommandations personnalisées aux clients en fonction de leurs achats.
Un problème de précision
Même si la précision des technologies de reconnaissance faciale a été remise en question par le passé, les meilleurs algorithmes d’authentification de données biométriques ont aujourd’hui une marge d’erreur de seulement 0,08 %, d’après des tests menés par le National Institute of Standards and Technology (NIST) aux États-Unis. Dans certains pays, même les banques n’hésitent plus à utiliser cette méthode pour permettre aux clients de se connecter à leurs comptes.
Cependant, nous ne connaissons pas le degré de précision des technologies utilisées par le système de paiement biométrique de Mastercard. Des algorithmes qui fonctionnent presque parfaitement en laboratoire sont parfois beaucoup moins efficaces en conditions réelles, où l’éclairage, l’angle de la prise de vue et d’autres paramètres peuvent varier.
Un risque de biais
Dans une étude publiée en 2019, le NIST a démontré que sur 189 algorithmes de reconnaissance faciale, la majorité était biaisée. Les résultats étaient moins précis pour les visages de personnes non-blanches.
Même si la technologie a évolué ces dernières années, elle n’est pas à toute épreuve. Et nous ne savons pas dans quelle mesure Mastercard est parvenu à surmonter cette difficulté.
Si le logiciel échoue à reconnaître un client à la caisse, la personne concernée risque d’être contrariée, voire de se mettre en colère, ce qui irait totalement à l’encontre des promesses de vitesse et de praticité mises en avant par l’entreprise.
Mais si le système se trompe sur l’identité de quelqu’un (en prenant Pierre pour Jacques, par exemple – ou en confondant des jumeaux), l’argent risque d’être prélevé sur le mauvais compte. Comment faire pour remédier à cette situation ?
Ce système est-il sûr ?
Nous entendons souvent parler de logiciels et de bases de données piratés, même au sein d’institutions soi-disant ultrasécurisées. En dépit des efforts de Mastercard pour assurer la sécurité de ce système, rien ne dit que les bases de données des fournisseurs extérieurs – contenant potentiellement des millions de fiches d’identité biométriques – ne seront pas piratées.
Entre de mauvaises mains, ces données pourraient conduire à des usurpations d’identité, un délit en constante augmentation, ou à de la fraude financière.
Voulons-nous vraiment de ce système ?
Mastercard suggère que 74 % des clients sont favorables à l’utilisation de cette technologie, citant des statistiques issues d’une étude interne et reprises par son partenaire Idemia, qui commercialise des technologies d’identification biométrique.
Mais le rapport cité est vague et bref. D’autres études donnent des résultats totalement différents. L’une suggère par exemple que 69 % des consommateurs rechignent à utiliser des systèmes de reconnaissance faciale dans les magasins. Une autre montre que seuls 16 % font confiance à cette technologie.
Sans oublier que, si les consommateurs connaissaient vraiment les risques que présente la reconnaissance faciale pour authentifier des paiements, ce pourcentage serait sans doute encore moindre.
Traduit de l’anglais par Iris Le Guinio pour Fast ForWord
Rita Matulionyte, Senior Lecturer in Law, Macquarie University
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
Nos Lecteurs ont aussi Aimé
Suivez nous sur Google NewsBonjour, je m’appelle Pierre et j’ai 34 ans. Rédacteur de profession, je suis passionné par l’écriture, la communication et les médias. Bienvenue sur mon site web où je partage mes articles, mes réflexions et mes projets. N’hésitez pas à me contacter pour toute demande ou suggestion. À bientôt !
Commentaires
Laisser un commentaire