Les paiements biométriques créent un risque irréversible de vol d'identité

Des données irremplaçables créent un risque permanent sans surveillance fédérale

Utiliser la paume ou le visage pour payer des marchandises offre une commodité, mais les experts en confidentialité avertissent que cela comporte des risques profonds et permanents. Si un numéro de carte de crédit est volé, il peut être annulé et remplacé. Cependant, les identifiants biométriques tels que les empreintes digitales, les motifs veineux palmaires ou la géométrie faciale sont intrinsèques à un individu et ne peuvent être modifiés. Une violation de données qui expose ces informations laisse une personne sans recours, créant une vulnérabilité à vie à l'usurpation d'identité et au vol d'identité.

Ce danger est amplifié par un environnement réglementaire faible aux États-Unis. Il n'existe pas de loi fédérale globale qui dicte la manière dont les entreprises peuvent collecter, utiliser et conserver les données biométriques. Alors que des États comme l'Illinois ont mis en œuvre des protections robustes par le biais de la loi sur la confidentialité des informations biométriques (BIPA), la majeure partie du pays opère dans une zone grise juridique. Cette absence de garde-fous clairs permet aux entreprises de définir leurs propres politiques, qui sont souvent enfouies dans des accords de confidentialité remplis de jargon qui masquent la durée de conservation des données et avec qui elles pourraient être partagées.

Le tribunal ordonne à Amazon de partager le code source de « Just Walk Out »

Les batailles juridiques commencent à tester les limites de la collecte de données par les entreprises dans cet espace non réglementé. Dans un procès intenté en vertu de la BIPA de l'Illinois, un tribunal de district américain a ordonné à Amazon de remettre le code source de sa technologie de vente au détail « Just Walk Out » (JWO). Le procès, déposé en septembre 2023, allègue que le système collecte la géométrie biométrique de la main des acheteurs sans leur consentement éclairé. Amazon a rétorqué que sa technologie suit les emplacements des mains pour lier les interactions produit, mais n'identifie pas les individus à l'aide d'identifiants biométriques tels que définis par la BIPA.

Le tribunal a rejeté l'argument sémantique d'Amazon, statuant que les plaignants ont le droit d'examiner le code source pour déterminer si les caractéristiques géométriques qu'il analyse sont qualifiées d'identifiants biométriques en vertu de la loi. Cette décision impose un niveau de transparence à une grande entreprise technologique et souligne l'examen juridique croissant auquel les entreprises sont confrontées lorsqu'elles déploient des systèmes biométriques. Le processus de découverte dans l'affaire devrait se poursuivre jusqu'en août, établissant un précédent potentiellement significatif pour les litiges en matière de confidentialité biométrique.

Les nations divisées sur les cadres de sécurité biométrique

Alors que les États-Unis sont aux prises avec une approche réglementaire fragmentée, d'autres nations mettent en œuvre des contrôles plus stricts et centralisés. La Banque centrale du Nigeria renforce les règles de son système de numéro de vérification bancaire (BVN), qui couvre 68,59 millions de clients bancaires enregistrés. Les nouvelles règles, en vigueur le 1er mai, limitent l'inscription au BVN aux personnes de 18 ans et plus et limitent les changements de numéro de téléphone à une seule instance pour lutter contre la fraude. De même, le Sri Lanka conçoit son programme national d'identité numérique, SLUDI, en mettant l'accent sur la souveraineté nationale et le transfert de capacités, cherchant à éviter le verrouillage à long terme des fournisseurs et à garantir que le gouvernement conserve le contrôle des données de ses citoyens.