La biométrie comportementale utilise les caractéristiques du comportement humain pour authentifier des personnes par rapport à leur façon d’utiliser des périphériques d’ordinateurs (clavier, souris) ou des environnement tactiles.
La biométrie comportementale va générer par utilisateur des empreintes biométriques, en fonction de sa dynamique de frappe de sa façon de mouvoir une souris, de ses gestes de toucher et de glisser sur un écran tactile et la façon dont il tient son smartphone ou tablette.
Contrairement à des systèmes d’authentification multifacteur classiques qui s’appuient sur des éléments tiers (OTP, envoi de SMS, …) et qui authentifient l’utilisateur à un instant T, la biométrie comportementale permet de fournir différentes formes d’authentification (renforcée, continue, …), tout comme elle permet de valider les identités numériques, sans impact négatif par rapport à l’expérience utilisateur, car il n’y a pas d’adjonction de matériel tiers (smartphone, dongle, …)..
Notre plateforme logicielle permet aux organisations d’intégrer de manière transparente et sans friction la biométrie comportementale dans les applications Web et mobiles, ou dans tout logiciel capable d’utiliser des API REST. Notre plateforme peut fournir aux organisations des informations exploitables en temps réel leurs permettant une authentification des personnes qui se connectent, ou connectées à ses applications métiers .
Ces authentifications sont de différents ordres :
- à la connexion, dans le cadre d’une authentification renforcée, pour empêcher l’utilisation d’identifiants de connexion usurpés,
- durant une cession ouverte, dans le cadre d’une authentification continue, pour contrer une attaque de type « man in the middle » ou toute tentative de prise de contrôle d’une cession ouverte, que cette tentative soit externe ou interne,
- de prévenir la fraude,
- de contrer des attaques automatisées par des robots,
L’utilisation de neomia Pulse permet aussi d’aider les organisations dans leur transformation numérique tout en implémentant un service avec un fort niveau de sécurité, transparent et sans friction pour ses collaborateurs ou utilisateurs.
neomia Pulse se conforme aux éléments de l’article 40 du RGPD. Nous vous invitons à visiter notre page « Questions Réponses d’ordre technique par rapport au RGPD » pour avoir un maximum d’information sur notre conformité.
Nous collectons les données suivantes :
- la dynamique de frappe,
- les mouvements de la souris,
- les gestes de toucher et de glisser,
- la façon de tenir un appareil tactile.
Ces données brutes sont transformées en données statistiques. neomia Pulse ne collecte aucune informations personnelles identifiables ou d’autres données statiques.
Non car en aucun cas neomia Pulse cherche à trouver un individu, mais il cherche à identifier la cohérence du comportement de l’utilisateur.
neomia Pulse ne cherche pas à savoir s’il s’agit d’une personne en particulier, mais de savoir s’il s’agit de la bonne personne.
La biométrie comportementale n’est pas associée aux mêmes craintes que certaines biométries physiques, car cette technologie ne sait pas faire de distinction par rapport à certaines caractéristiques comme la race ou le genre.
Il n’y a aucun risque à utiliser la biométrie comportementale pour protéger vos clients, vos collaborateurs, vos utilisateurs et votre organisation.
Les données collectées (cf paragraphe « ci-dessus « Quelle est la nature des données collectées ») vont permettre de générer des empreintes biométriques qui sont une suite de variables statistiques. En production Neomia Pulse compare les données collectées dynamiquement à celles qui sont stockées et ensuite retourne une variable (True/False) et un score de confiance ou de défiance. Il n’est pas possible de rejouer, de réutiliser, d’imiter ou même d’identifier un individu à travers ce type de données. De plus nous ne stockons aucune information qui permet d’identifier une personne.
Ces empreintes ne sont pas transmissibles d’une organisation à une autre. L’IT d’une organisation peut suivre les recommandations de la CNIL pour les gérer (suppression au bout de x mois par utilisateur, suppression à la volée de toutes les empreintes, …). De même que nous fournissons par défaut le nécessaire pour que chaque utilisateur puisse gérer par lui-même ses empreintes (création, suppression).
De part sa conception, neomia Pulse est RGPD by design, RGPD by default et en termes de développement Security by design.
- Dans le cadre d’un contrat de travail, il n’est pas nécessaire de demander le consentement explicite d’un collaborateur. Mais nous conseillons fortement d’intégrer dans votre charte informatique l’utilisation de neomia Pulse au sein de votre organisation afin que vos collaborateurs en soient informés. De même que vous devez définir une fiche de traitement (au sein de votre registre de traitement RGPD) liés à cette utilisation.
- Dans le cadre d’une utilisation de type B2B, si votre organisation est responsable de traitement (au sens du RGPD) et que vous imposez l’utilisation de neomia Pulse à vos sous-traitants (au sens du RGPD), vous devez les prévenir afin qu’ils en informent leurs collaborateurs, de même que vous avez obligation de définir une fiche de traitement liés à cette utilisation et d’y référencer les sous-traitants concernés.
- Dans le cadre d’une utilisation de type B2C, il est nécessaire de recueillir le consentement explicite de chaque utilisateur.
Non, les informations personnellement identifiables (IIP) utilisées dans le cadre de la sécurité de l’information sont classées comme des données personnelles en vertu du droit européen et sont couvertes par le RPGD. Nos empreintes biométriques sont uniques par utilisateur, il n’est pas possible d’utiliser ces empreintes biométriques pour identifier des informations sensibles sur une personne comme l’âge, la race, le genre ou d’autres informations qui permettraient d’identifier une personne.
Comme indiqué précédemment, il est impossible de rejouer, de réutiliser, d’imiter ou d’identifier un individu à partir d’empreintes enregistrées. Le profil biométrique comportemental est simplement une des variations du comportement spécifique d’un utilisateur par rapport à son environnement de travail (application Web, ordinateur, appareil tactile).
En fonction des demandes de nos clients :
- neomia Pulse peut être hébergé et opéré par neomia en mode SaaS via son Cloud
- neomia Pulse peut être installé en On-Premise chez un client, qui peut alors l’opérer en fonction de ses règles internes de gestion.
Nous rappelons que les transferts de données issues de neomia Pulse d’une organisation à une autre n’est pas possible.
Ce cas de figure peut se présenter si votre organisation travaille sur différents pays. Si vous restez en Europe, vous êtes soumis au RGPD, de même concernant les pays dit « adéquats ».
Concernant les autres pays, nous vous invitons à vous renseigner. A titre d’information, nous vous conseillons d’aller sur le site de la CNIL :
- https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
- https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
D’une façon générale, les données sont traitées et stockées conformément aux exigences de la juridiction légale où elles sont collectées. Les transferts de données individuels doivent être gérés au cas par cas car les réglementations en vigueur varient selon les juridictions et sont fréquemment mises à jour.