Utilisation d’empreintes vocales à des fins d’authentification : points à retenir de l’affaire Rogers
Face à l’augmentation constante des risques de fraude, de plus en plus d’organisations, notamment des banques et des entreprises de télécommunications, songent à se tourner vers l’empreinte vocale pour authentifier leurs clients. Cette dernière, qui fait partie de la catégorie des données biométriques, est un modèle numérique de la signature vocale d’une personne. On peut donc s’y fier au même titre qu’une empreinte digitale pour identifier ou authentifier une personne. Contrairement aux identifiants traditionnels et aux mots de passe – qui sont de plus en plus sujets à des incidents de confidentialité et donc disponibles aux malfaiteurs – les technologies d’empreinte vocale sont plus fiables puisqu’elles font appel à de l’information biométrique, unique à chaque personne.
Les technologies d’empreintes vocales ne font cependant pas l’unanimité : certains voient ce type d’analyse comme une atteinte à la vie privée, comme le démontre la décision rendue plus tôt cette année par le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou le « CPVP ») contre Rogers Communications Inc. («Rogers ») (voir Conclusions en vertu de la LPRPDE no 2022-003).
Les organisations qui ont recours à la biométrie de manière illicite s’exposent à divers risques réglementaires de même qu’à des poursuites en justice; plusieurs actions collectives ont d’ailleurs récemment été intentées dans le district sud de la Californie contre des banques qui utilisaient la reconnaissance vocale pour authentifier des clients, et l’Illinois a rendu sa première décision sur le fond en vertu de l’Illinois Biometric Information Privacy Act, dans un dossier qui concernait l’authentification d’employés par l’entremise de leurs empreintes digitales, sans leur consentement (les plaignants se sont vu accorder 228 M$ US en dommages-intérêts).
This content has been updated on May 2, 2024 at 12 h 55 min.