PFPDT : enquête sur la recon­nais­sance voca­le chez PostFinance

FR 
FR  DE  EN 

de

sur le site

Bran­ches

,

Auto­ri­té

Lois

Thè­mes

, , ,
Ven­te à emporter (AI)
  • Le PFPDT a obli­gé Post­Fi­nan­ce à ne coll­ec­ter les emprein­tes voca­les à des fins d’au­then­ti­fi­ca­ti­on qu’a­vec un con­sen­te­ment expli­ci­te et à sup­p­ri­mer les pro­fils non consentis.
  • Le PFPDT a esti­mé que l’uti­li­sa­ti­on de la bio­mé­trie pour l’au­then­ti­fi­ca­ti­on vio­lait le prin­ci­pe de pro­por­ti­on­na­li­té ; Post­Fi­nan­ce le con­te­ste et a dépo­sé un recours.

Le PFPDT a com­mu­ni­quéqu’il a mené une enquête cont­re Post­Fi­nan­ce con­cer­nant l’au­then­ti­fi­ca­ti­on par recon­nais­sance voca­le. L’en­quête a été clôtu­rée le 16 mai 2025, avec une Dis­po­si­ti­on, Emprein­tes voca­les à des fins d’au­then­ti­fi­ca­ti­on uni­quement avec le con­sen­te­ment expli­ci­te des per­son­nes con­cer­nées. Les emprein­tes de vote sans ce con­sen­te­ment doi­vent être effacées.

La moti­va­ti­on n’est pas publi­que, la décis­i­on a été dépo­sée auprès du Tri­bu­nal admi­ni­stra­tif fédé­ral con­te­sté. Dans son com­mu­ni­qué de pres­se, le PFPDT a tou­te­fois indi­qué (on ne voit pas pour­quoi il fait une com­mu­ni­ca­ti­on à ce sujet) que les emprein­tes de vote per­met­tant d’i­den­ti­fier une per­son­ne sont des don­nées per­son­nel­les sen­si­bles (ce qui est exact), mais qu’el­les com­portent des ris­ques “dans le con­tex­te des pro­grès tech­no­lo­gi­ques crois­sants” et que l’uti­li­sa­ti­on de don­nées bio­mé­tri­ques à des fins d’au­then­ti­fi­ca­ti­on par Post­Fi­nan­ce SA est con­trai­re au prin­ci­pe de proportionnalité :

L’en­quête du PFPDT a révé­lé que le trai­te­ment de don­nées bio­mé­tri­ques à des fins d’au­then­ti­fi­ca­ti­on […] vio­le le prin­ci­pe de pro­por­ti­on­na­li­té. De plus, les emprein­tes de vote sont éta­b­lies sans que les cli­ents aient acti­ve­ment expri­mé leur volon­té. Cela signi­fie que les cli­entes et cli­ents qui refu­sent l’uti­li­sa­ti­on de la recon­nais­sance voca­le doi­vent eux-mêmes agir. […] 

Le PFPDT con­sidè­re que cet­te maniè­re de pro­cé­der est con­trai­re au droit de la pro­tec­tion des don­nées et a obli­gé Post­Fi­nan­ce SA, par voie de décis­i­on, à obte­nir le con­sen­te­ment exprès des per­son­nes con­cer­nées lors de l’é­ta­blis­se­ment d’em­prein­tes voca­les à des fins d’au­then­ti­fi­ca­ti­on par recon­nais­sance voca­le. Post­Fi­nan­ce SA est en out­re priée d’effacer les emprein­tes voca­les pour les­quel­les aucun con­sen­te­ment expli­ci­te de la per­son­ne con­cer­née n’a été obtenu. […]

On a l’im­pres­si­on que le PFPDT procè­de selon le modè­le con­nu – les Pro­por­ti­on­na­li­té des trai­te­ments de don­nées ne doit pas être mesu­rée en fonc­tion de la fina­li­té du trai­te­ment (p. ex. com­mo­di­té, qui peut être un objec­tif légiti­me du responsable du trai­te­ment), mais en fonc­tion d’un critère non objec­ti­vé, mais fina­le­ment con­struit par le PFPDT (à ce sujet, voir aus­si ici et ici). Si tel est le cas – com­me je l’ai dit, la décis­i­on elle-même n’est pas dis­po­ni­ble -, nous espé­rons que le Tri­bu­nal admi­ni­stra­tif fédé­ral appor­te­ra des éclaircissements.

Une aut­re que­sti­on serait de savoir si Post­Fi­nan­ce avait con­clu, lors d’un examen, que l’uti­li­sa­ti­on de pro­fils de voix était plus sûr que d’aut­res métho­des d’au­then­ti­fi­ca­ti­on. On peut sup­po­ser que cet­te que­sti­on a éga­le­ment fait l’ob­jet de l’en­quête, mais que le PFPDT est arri­vé à la con­clu­si­on que le gain de sécu­ri­té n’é­tait pas suf­fi­sam­ment important.

De son côté, Post­Fi­nan­ce a Com­mu­ni­qué de pres­se publiéDans sa décis­i­on, le PFPDT a été infor­mé d’u­ne nou­vel­le pro­cé­du­re avec con­sen­te­ment, basée sur le con­sen­te­ment des cli­ents, avant que la décis­i­on ne soit ren­due. Il sem­ble que le PFPDT ait néan­mo­ins jugé oppor­tun de rend­re une décis­i­on – peut-être pour obte­nir la sup­pres­si­on des pro­fils déjà coll­ec­tés, peut-être pour d’aut­res raisons.