Mastercard vient de lancer Smile to Pay, un nouveau système de paiement biométrique. Actuellement en phase de test, Smile to Pay suscite des inquiétudes en matière de confidentialité, de stockage de données et de possibles biais.
Fonctionnement et gestion des données
Le système de paiement biométrique de Mastercard permet à ses clients d’utiliser la reconnaissance faciale pour effectuer des transactions financières en associant les systèmes d’authentification biométriques d’entreprises tierces à ses systèmes de paiement. L’entreprise a déjà développé des partenariats avec NEC, Payface, Aurus, Fujitsu Limited, PopID et PayByFace, avec d’autres annonces à venir.
Utilisation de Smile to Pay
Les clients doivent télécharger une application qui prend une photo d’eux et qui enregistre leurs données bancaires.
Lorsqu’un client passe à la caisse, son visage est scanné et comparé aux données stockées pour vérifier son identité. Si son identité est vérifiée, les fonds sont automatiquement prélevés sur leur compte.
Stockage des données
Les données bancaires sont stockées sur les serveurs de fournisseurs externes.
Ces informations sont stockées sur les serveurs des fournisseurs externes, tels que NEC, Payface, Aurus, Fujitsu Limited, PopID et PayByFace, avec lesquels Mastercard a déjà développé des partenariats.
Selon Mastercard, les données des clients seront stockées par l’un de ses fournisseurs de technologies biométriques sous forme de fichiers cryptés et seront retirées de la base de données dès que le client manifeste le souhait de résilier son contrat
Gestion des données et respect des droits des utilisateurs
Informer quant à la gestion et l’accès aux données
Beaucoup de points non éclaircis subsistent sur le fonctionnement exact du système de paiement biométrique de Mastercard, notamment en ce qui concerne le degré de précision de la reconnaissance faciale et l’accès aux bases de données biométriques.
Il reste à voir comment ces données seront retirées si Mastercard n’a pas accès direct à elles. La protection de la vie privée est une préoccupation majeure avec ce système, en particulier compte tenu du nombre de fournisseurs extérieurs potentiels.
Les clients de Mastercard auront le choix d’utiliser ou non le système de paiement biométrique, mais les détaillants pourront décider de ne pas proposer cette option ou de l’utiliser exclusivement. Les technologies de reconnaissance faciale des aéroports et services de police ne donnent généralement pas le choix aux utilisateurs.
Exigence de consentement et respect des lois sur la protection de la vie privée
On peut supposer que Mastercard et ses fournisseurs de données biométriques partenaires demandent le consentement des clients, comme la plupart des lois sur la protection de la vie privée l’exigent.
Une gestion des données opaque pour les utilisateurs
Cependant, il reste à voir si les clients sauront réellement ce qu’ils autorisent et si les fournisseurs de technologies biométriques auxquels Mastercard s’associe décideront de la manière dont les données seront utilisées, de la durée de leur exploitation, du lieu où elles seront stockées et des personnes autorisées à les consulter.
Mastercard se contentera de sélectionner des fournisseurs « dignes » d’être acceptés comme partenaires et de déterminer les critères minimaux qu’ils devront remplir.
Les clients qui souhaitent utiliser ce mode de paiement devront accepter toutes les conditions d’utilisation et de protection des données correspondantes, et il est possible que Mastercard utilise le système pour intégrer ses offres de fidélité et faire des recommandations personnalisées aux clients en fonction de leurs achats.
