Skip to content
Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Données14 min de lecture

Vérification biométrique en Belgique : empreintes, visage et voix

Vérification biométrique en Belgique : empreintes digitales, reconnaissance faciale et vocale pour les contrôles d'identité. Cadre RGPD, Loi du 30 juillet 2018, APD et bonnes pratiques.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Vérification biométrique en Belgique : empreintes, visage et voix — Données

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La vérification biométrique désigne la comparaison 1:1 d'une donnée biologique capturée en temps réel avec un gabarit de référence préalablement enregistré. En Belgique, elle s'applique aux empreintes digitales, au visage et à la voix pour confirmer qu'une personne est bien celle qu'elle prétend être. Ces traitements sont soumis à l'article 9 du RGPD (Règlement UE 2016/679) en tant que données de catégorie particulière, à la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel qui transpose le RGPD en droit belge, et à compter du 2 août 2026 au Règlement IA (UE) 2024/1689, dit AI Act.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Les exigences varient selon la juridiction, le secteur d'activité et la région (Bruxelles, Wallonie, Flandre). Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.

Qu'est-ce que la vérification biométrique ?

La vérification biométrique est une comparaison 1:1 entre un échantillon biométrique en direct et un gabarit stocké. Elle est distincte de l'identification biométrique, qui consiste à comparer un échantillon contre une base de données entière (comparaison 1:N). Cette distinction est juridiquement déterminante sous l'AI Act et sous la Loi belge du 30 juillet 2018.

La vérification biométrique 1:1 n'est pas automatiquement qualifiée de système à haut risque au sens de l'annexe III du Règlement (UE) 2024/1689, contrairement à l'identification biométrique 1:N qui, elle, l'est de plein droit (EUR-Lex, AI Act Annexe III).

Les trois modalités principales

Modalité Principe de fonctionnement EER typique Usages courants
Empreinte digitale Analyse des minuties (crêtes, bifurcations) 1–2 % Contrôle d'accès, KYC mobile
Reconnaissance faciale Géométrie du visage, points de repère 3D 0,1–2 % Onboarding à distance, e-KYC
Reconnaissance vocale Empreinte spectrale de la voix 2–5 % Authentification téléphonique, centres d'appels
Iris Motif irien unique 0,01 % Frontières, accès haute sécurité

L'Equal Error Rate (EER) est le point d'équilibre où le taux de faux acceptés (False Acceptance Rate, FAR) égale le taux de faux rejetés (False Rejection Rate, FRR). Pour les applications à haute sécurité, le FAR cible est inférieur à 0,01 %. Plus l'EER est bas, plus le système est précis.

Vérification vs identification : une distinction critique sous l'AI Act

À compter du 2 août 2026, l'AI Act est pleinement applicable. La vérification biométrique 1:1 — par exemple, confirmer qu'un selfie correspond à la photo d'une eID belge — n'est pas présumée à haut risque. En revanche, l'identification biométrique à distance en temps réel par les autorités répressives est interdite par l'article 5 du Règlement (UE) 2024/1689, sauf exceptions strictement encadrées. Les opérateurs privés qui déploient des systèmes de reconnaissance faciale dans des espaces accessibles au public pour identifier des personnes parmi une base (1:N) entrent dans la catégorie haut risque de l'Annexe III et sont soumis à des obligations de conformité renforcées.

Le cadre juridique applicable en Belgique

RGPD et Loi du 30 juillet 2018 : données biométriques comme données de catégorie particulière

Les données biométriques sont des données de catégorie particulière au sens de l'article 9(1) du RGPD. La Loi du 30 juillet 2018 transpose le RGPD en droit belge et habilite le Roi à préciser les conditions de traitement pour certaines catégories de données sensibles. Le traitement des données biométriques est en principe interdit, sauf si l'une des exceptions de l'article 9(2) du RGPD est applicable. Les fondements les plus courants en contexte d'entreprise belge sont :

  • Article 9(2)(a) : consentement explicite de la personne concernée.
  • Article 9(2)(b) : nécessité pour l'exécution d'obligations en matière de droit du travail (avec accord collectif ou autorisation réglementaire — en Belgique, une CCT ou une convention collective de travail sectorielle).
  • Article 9(2)(g) : intérêt public substantiel, sur base d'une disposition nationale belge.

L'APD (Autorité de protection des données) exige systématiquement une analyse d'impact relative à la protection des données (AIPD) avant tout déploiement de traitement biométrique, conformément à l'article 35 du RGPD (APD, liste des traitements soumis à AIPD). En matière de biométrie au travail, les orientations de l'APD et les recommandations du Comité de sécurité de l'information (CSI) sont contraignantes.

La Belgique dispose également d'une structure fédérale qui entraîne des nuances régionales : certaines compétences liées aux soins de santé, à l'emploi ou aux services publics relèvent des entités fédérées (Bruxelles, Wallonie, Flandre), ce qui peut affecter la base légale applicable à certains traitements biométriques.

AI Act : obligations à partir du 2 août 2026

À compter du 2 août 2026, les fournisseurs et déployeurs de systèmes d'IA à haut risque — dont les systèmes d'identification biométrique de l'Annexe III — doivent respecter les obligations des articles 9 à 16 du Règlement (UE) 2024/1689 : système de gestion des risques, données d'entraînement de qualité, journalisation, transparence, supervision humaine et exactitude déclarée. En Belgique, le contrôle de l'application de l'AI Act est coordonné au niveau fédéral.

LCB-FT : FSMA, BNB et CTIF

La Loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme transpose en droit belge les directives anti-blanchiment européennes. Les établissements financiers belges sont supervisés par la FSMA (Autorité des services et marchés financiers) pour les marchés financiers et par la BNB (Banque Nationale de Belgique) pour les établissements de crédit et les assurances. Le signalement des opérations suspectes s'effectue auprès de la CTIF (Cellule de traitement des informations financières), homologue belge de TRACFIN.

La vérification biométrique est reconnue comme un moyen valide de vérification de l'identité dans le cadre KYC belge, sous réserve des exigences RGPD et de la Loi du 30 juillet 2018. En 2024, les amendes mondiales liées aux manquements LCB-FT ont atteint 4,6 milliards de dollars. Le recours à la biométrie ne dispense pas de l'obligation de vigilance documentaire.

Pour approfondir les obligations documentaires dans le cadre du RGPD, consultez notre article sur le RGPD et les documents d'identité.

L'identité numérique belge : eID et itsme®

La Belgique dispose d'un écosystème d'identité numérique mature. La carte d'identité électronique belge (eID), obligatoire pour tous les citoyens belges de plus de douze ans, intègre une puce contenant les données biométriques de son titulaire (photo numérisée, empreintes digitales pour les titulaires de plus de douze ans depuis 2019) et permet une authentification électronique forte.

L'application itsme® est la solution d'identité numérique belge la plus répandue, développée en partenariat avec les banques et opérateurs téléphoniques belges. Elle permet la vérification biométrique faciale couplée à l'eID et est reconnue au niveau LoA Substantiel sous eIDAS. De nombreux établissements financiers belges intègrent itsme® dans leur parcours d'onboarding KYC pour satisfaire aux exigences de la FSMA et de la BNB.

La vérification d'identité à distance en Belgique s'appuie donc fréquemment sur la combinaison eID + itsme® + reconnaissance faciale, constituant un dispositif conforme aux exigences LCB-FT de la Loi du 18 septembre 2017.

La détection de vivacité (liveness detection)

La détection de vivacité est la couche de sécurité qui distingue une personne réelle d'une attaque par artefact (photo imprimée, masque 3D, deepfake vidéo). Elle est indispensable à tout système de vérification biométrique à distance, y compris dans les parcours d'onboarding intégrant itsme® ou la lecture de l'eID belge.

La détection de vivacité passive — analyse de texture, de profondeur et de micro-mouvements sans demander d'action à l'utilisateur — réduit les taux de fraude par présentation de plus de 95 % dans les benchmarks publiés par iBeta (niveau ISO/IEC 30107-3) (ISO/IEC 30107-3, iBeta Evaluation).

Active vs passive

  • Active : l'utilisateur est invité à réaliser une action (cligner des yeux, tourner la tête, lire un code). Efficace contre les attaques statiques, mais crée de la friction.
  • Passive : l'analyse s'effectue en arrière-plan sans interaction. Elle détecte les deepfakes, les masques et les injections vidéo numériques. Recommandée pour les parcours à faible friction.

Le cadre eIDAS 2.0 et le Portefeuille d'identité numérique européen (EUDIW) s'appuient sur ces normes de vivacité pour les vérifications à distance de niveau élevé d'assurance (LoA High). La Belgique, à travers son eID et itsme®, est bien positionnée pour l'adoption de l'EUDIW.

Performances et indicateurs clés

FAR, FRR et EER : ce qu'ils signifient en pratique

  • FAR (False Acceptance Rate) : probabilité qu'un imposteur soit accepté. Un FAR de 0,01 % signifie qu'en moyenne 1 tentative frauduleuse sur 10 000 aboutit.
  • FRR (False Rejection Rate) : probabilité qu'un utilisateur légitime soit rejeté. Un FRR élevé génère de la friction et des coûts de support.
  • EER : point où FAR = FRR. Il est utilisé pour comparer les systèmes biométriques entre eux.

Pour les applications KYC réglementées en Belgique — notamment soumises à la supervision de la FSMA ou de la BNB — le standard de l'industrie fixe un FAR inférieur à 0,01 % avec une détection de vivacité certifiée ISO/IEC 30107-3 niveau 2.

Données CheckFile

Notre plateforme de vérification documentaire et biométrique affiche un taux de rappel en détection de fraude de 94,8 %, un taux de faux positifs de 3,2 % et un délai moyen de vérification de 4,2 secondes. Les fraudes aux documents d'identité représentent 19 % de l'ensemble des fraudes documentaires détectées — un signal qui justifie le couplage systématique de l'analyse documentaire et de la vérification biométrique, en particulier pour les vérifications d'eID belge.

Déploiement : bonnes pratiques en Belgique

Choisir la bonne modalité selon le contexte

Le choix de la modalité biométrique dépend du canal, du niveau de risque et des contraintes réglementaires belges. L'empreinte digitale convient aux contextes physiques (agences bancaires, bornes d'accueil) ; la reconnaissance faciale est la plus adaptée à l'onboarding à distance, notamment couplée à l'eID belge ou à itsme® ; la reconnaissance vocale s'intègre aux canaux téléphoniques des centres de contact.

Intégrer la biométrie dans un dispositif multicouche

La biométrie seule ne suffit pas à satisfaire les obligations de vigilance réglementaire en Belgique. Elle doit être couplée à la vérification documentaire (analyse OCR de l'eID, détection de falsification, vérification de la puce NFC) et à la vérification des données (listes de sanctions, PPE, vérification adresse). C'est cette combinaison qui constitue un dispositif KYC conforme au sens de la Loi du 18 septembre 2017 et des circulaires de la FSMA et de la BNB.

Pour en savoir plus sur les méthodes de vérification d'identité disponibles, consultez notre article sur la vérification d'identité : méthodes et technologies.

Conformité APD : les étapes clés en Belgique

  1. Réaliser une AIPD avant tout déploiement de traitement biométrique.
  2. Identifier une base légale valide au titre de l'article 9(2) du RGPD, en tenant compte des habilitations nationales de la Loi du 30 juillet 2018.
  3. Appliquer le principe de minimisation : ne collecter que le gabarit, pas l'image brute, lorsque c'est possible.
  4. Définir la durée de conservation et les modalités de suppression des gabarits.
  5. Pour la biométrie au travail, consulter les représentants du personnel et, le cas échéant, négocier une CCT (convention collective de travail) au niveau de l'entreprise ou du secteur.
  6. Documenter le traitement au registre des activités (article 30 RGPD) et notifier le délégué à la protection des données (DPO) le cas échéant.
  7. Pour les traitements à risque élevé, consulter préalablement l'APD (article 36 RGPD).

Consultez la page dédiée de l'APD pour les dernières recommandations applicables en Belgique.

Risques et limites à connaître

La vérification biométrique présente des risques spécifiques, particulièrement en contexte belge. Les gabarits biométriques sont permanents : contrairement à un mot de passe, ils ne peuvent pas être réinitialisés en cas de compromission. Les attaques par injection (substitution d'un flux vidéo synthétique à la caméra) contournent les systèmes sans détection de vivacité certifiée. Les biais algorithmiques — variation des performances selon l'origine ethnique, l'âge ou le sexe — sont documentés et peuvent exposer l'opérateur à des risques de discrimination, notamment au regard de la législation antidiscrimination belge (Loi du 10 mai 2007). L'article 10 du Règlement (UE) 2024/1689 impose des exigences de qualité et de représentativité des données d'entraînement pour atténuer ces biais.

En cas de violation de données impliquant des gabarits biométriques, la notification à l'APD sous 72 heures est obligatoire (article 33 du RGPD), et l'APD peut exiger une notification aux personnes concernées si le risque est élevé.

Questions fréquemment posées

La vérification biométrique est-elle obligatoire pour le KYC en Belgique ?

Non, la vérification biométrique n'est pas obligatoire par défaut en Belgique. La Loi du 18 septembre 2017 impose la vérification de l'identité à partir de documents fiables, mais laisse le choix des moyens. En pratique, la FSMA et la BNB acceptent des parcours d'identification à distance combinant la lecture de la puce NFC de l'eID belge et la reconnaissance faciale avec détection de vivacité, conformément aux niveaux d'assurance requis. Certaines institutions financières imposent l'utilisation d'itsme® dans leurs politiques KYC internes.

Quelle est la différence entre vérification et identification biométrique sous l'AI Act en Belgique ?

La vérification biométrique (1:1) compare un échantillon à un gabarit connu et lié à une personne identifiée — par exemple, la correspondance entre un selfie et la photo de l'eID belge. L'identification biométrique (1:N) recherche une correspondance dans une base entière sans identité préalablement connue. À compter du 2 août 2026, seule l'identification est présumée à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689. L'identification à distance en temps réel par les forces de l'ordre belges est en principe interdite par l'article 5, sauf dans les cas exceptionnels prévus par le règlement.

Un consentement explicite est-il toujours requis pour la biométrie en Belgique ?

Le consentement explicite (article 9(2)(a) du RGPD) est une base légale valide, mais pas la seule. Pour la biométrie au travail, l'APD belge considère, à l'instar des autres autorités européennes, que le consentement n'est généralement pas libre en raison du déséquilibre entre employeur et salarié. En droit belge, une convention collective de travail (CCT) conclue au sein du Conseil national du travail ou d'une commission paritaire peut constituer une base légale alternative. Pour les services en ligne tels que les parcours d'onboarding financier, le consentement explicite reste la base principale, sous réserve de son caractère libre, spécifique, éclairé et univoque.

Comment fonctionne itsme® pour la vérification biométrique en Belgique ?

itsme® est l'application d'identité numérique belge développée par Belgian Mobile ID (consortium de banques et d'opérateurs téléphoniques). Elle permet la vérification biométrique faciale en comparant un selfie en temps réel aux données de l'eID belge enregistrées dans le système. itsme® est reconnue au niveau LoA Substantiel sous eIDAS et est acceptée par la majorité des institutions financières belges pour l'onboarding à distance. Son utilisation s'inscrit dans le cadre de la Loi du 30 juillet 2018 et des exigences de la FSMA. Plus d'informations sur itsme® (itsme-id.com).

Comment une entreprise belge doit-elle gérer les gabarits biométriques au regard du RGPD et de la Loi du 30 juillet 2018 ?

Les gabarits biométriques doivent être chiffrés au repos et en transit, stockés séparément des données d'identité, et supprimés dès que la finalité du traitement est atteinte. La durée de conservation doit être définie avant le déploiement et documentée dans le registre des activités (article 30). En cas de violation de données impliquant des gabarits biométriques, la notification à l'APD sous 72 heures est obligatoire (article 33 du RGPD). En Belgique, l'APD publie des lignes directrices spécifiques sur la gestion des violations de données, disponibles sur apd-gba.be. Contrairement à un mot de passe, un gabarit biométrique compromis ne peut pas être modifié.

La vérification biométrique est une technologie mature, précise et désormais intégrée aux principaux référentiels réglementaires belges et européens. Son déploiement en Belgique exige une conformité rigoureuse au RGPD, à la Loi du 30 juillet 2018, à l'AI Act et aux recommandations de l'APD, de la FSMA et de la BNB, ainsi qu'une architecture technique qui couple biométrie, analyse documentaire (eID belge, itsme®) et détection de vivacité certifiée.

CheckFile, solution de vérification documentaire et d'identité, intègre l'analyse biométrique dans un dispositif multicouche conforme aux exigences de la Loi du 18 septembre 2017, du RGPD et de l'AI Act. Les traitements sont hébergés exclusivement dans l'Union européenne. Découvrez nos fonctionnalités de sécurité ou comparez nos offres tarifaires pour estimer le coût selon votre volume de vérifications. Pour une vue d'ensemble du cadre données et fraude, consultez notre guide données et fraude.

Approfondir le sujet

Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.

Articles associés

Données9 min

RegTech en Belgique : technologie réglementaire 2026

La RegTech transforme la conformité réglementaire en Belgique en 2026. Marché mondial à 23 Md$, obligations FSMA, BNB, CTIF-CFI et Loi AML belge

Lire
Données15 min

ROI de l'automatisation conformité : étude chiffrée par secteur

Retour sur investissement de l'automatisation de la conformité documentaire : benchmarks par industrie, calculateur de coûts et données 2026.

Lire
Données16 min

Calculateur ROI vérification documentaire : analyse TCO et retour sur investissement

Calculez le ROI de l'automatisation de la vérification documentaire. Analyse TCO complète : coûts manuels vs automatisés, délai de rentabilité et gains par secteur.

Lire