Skip to content
Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Données11 min de lecture

Vérification biométrique : empreintes, visage et voix

Vérification biométrique expliquée : empreintes digitales, reconnaissance faciale et vocale pour les contrôles d'identité. Cadre RGPD, IA Act et bonnes pratiques.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Vérification biométrique : empreintes, visage et voix — Données

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La vérification biométrique désigne la comparaison 1:1 d'une donnée biologique capturée en temps réel avec un gabarit de référence préalablement enregistré. Elle s'applique aux empreintes digitales, au visage et à la voix pour confirmer qu'une personne est bien celle qu'elle prétend être. Ces traitements sont soumis à l'article 9 du RGPD (Règlement UE 2016/679) en tant que données de catégorie particulière, et à compter du 2 août 2026 au Règlement IA (UE) 2024/1689, dit AI Act.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Les exigences varient selon la juridiction et le secteur d'activité. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.

Qu'est-ce que la vérification biométrique ?

La vérification biométrique est une comparaison 1:1 entre un échantillon biométrique en direct et un gabarit stocké. Elle est distincte de l'identification biométrique, qui consiste à comparer un échantillon contre une base de données entière (comparaison 1:N). Cette distinction est juridiquement déterminante sous l'AI Act.

La vérification biométrique 1:1 n'est pas automatiquement qualifiée de système à haut risque au sens de l'annexe III du Règlement (UE) 2024/1689, contrairement à l'identification biométrique 1:N qui, elle, l'est de plein droit (EUR-Lex, AI Act Annexe III).

Les trois modalités principales

Modalité Principe de fonctionnement EER typique Usages courants
Empreinte digitale Analyse des minuties (crêtes, bifurcations) 1–2 % Contrôle d'accès, KYC mobile
Reconnaissance faciale Géométrie du visage, points de repère 3D 0,1–2 % Onboarding à distance, e-KYC
Reconnaissance vocale Empreinte spectrale de la voix 2–5 % Authentification téléphonique, centres d'appels
Iris Motif irien unique 0,01 % Frontières, accès haute sécurité

L'Equal Error Rate (EER) est le point d'équilibre où le taux de faux acceptés (False Acceptance Rate, FAR) égale le taux de faux rejetés (False Rejection Rate, FRR). Pour les applications à haute sécurité, le FAR cible est inférieur à 0,01 %. Plus l'EER est bas, plus le système est précis.

Vérification vs identification : une distinction critique sous l'AI Act

À compter du 2 août 2026, l'AI Act est pleinement applicable. La vérification biométrique 1:1 — par exemple, confirmer qu'un selfie correspond à la photo d'un passeport — n'est pas présumée à haut risque. En revanche, l'identification biométrique à distance en temps réel par les autorités répressives est interdite par l'article 5 du Règlement (UE) 2024/1689, sauf exceptions strictement encadrées. Les opérateurs privés qui déploient des systèmes de reconnaissance faciale dans des espaces accessibles au public pour identifier des personnes parmi une base (1:N) entrent dans la catégorie haut risque de l'Annexe III et sont soumis à des obligations de conformité renforcées.

Le cadre juridique applicable en France

RGPD : données biométriques comme données de catégorie particulière

Les données biométriques sont des données de catégorie particulière au sens de l'article 9(1) du RGPD. Leur traitement est en principe interdit, sauf si l'une des exceptions de l'article 9(2) est applicable. Les fondements les plus courants en contexte d'entreprise sont :

  • Article 9(2)(a) : consentement explicite de la personne concernée.
  • Article 9(2)(b) : nécessité pour l'exécution d'obligations en matière de droit du travail (avec accord collectif ou autorisation réglementaire).
  • Article 9(2)(g) : intérêt public substantiel, sur base d'une disposition nationale.

La CNIL exige systématiquement une analyse d'impact relative à la protection des données (AIPD) avant tout déploiement de traitement biométrique, conformément à l'article 35 du RGPD (CNIL, liste des traitements soumis à AIPD). En matière de biométrie au travail, le Règlement-type biométrie de la CNIL est contraignant et prévaut sur toute politique interne.

AI Act : obligations à partir du 2 août 2026

À compter du 2 août 2026, les fournisseurs et déployeurs de systèmes d'IA à haut risque — dont les systèmes d'identification biométrique de l'Annexe III — doivent respecter les obligations des articles 9 à 16 du Règlement (UE) 2024/1689 : système de gestion des risques, données d'entraînement de qualité, journalisation, transparence, supervision humaine et exactitude déclarée.

AMLA / AMLD6 et KYC biométrique

La 6e directive anti-blanchiment (AMLD6, Directive 2024/1640) et le futur Règlement AMLA renforcent les obligations de vigilance lors de l'entrée en relation. La vérification biométrique est reconnue comme un moyen valide de vérification de l'identité dans le cadre KYC, sous réserve des exigences RGPD. En 2024, les amendes mondiales liées aux manquements LCB-FT ont atteint 4,6 milliards de dollars. Le recours à la biométrie ne dispense pas de l'obligation de vigilance documentaire.

Pour approfondir les obligations documentaires dans le cadre du RGPD, consultez notre article sur le RGPD et les documents d'identité.

La détection de vivacité (liveness detection)

La détection de vivacité est la couche de sécurité qui distingue une personne réelle d'une attaque par artefact (photo imprimée, masque 3D, deepfake vidéo). Elle est indispensable à tout système de vérification biométrique à distance.

La détection de vivacité passive — analyse de texture, de profondeur et de micro-mouvements sans demander d'action à l'utilisateur — réduit les taux de fraude par présentation de plus de 95 % dans les benchmarks publiés par iBeta (niveau ISO/IEC 30107-3) (ISO/IEC 30107-3, iBeta Evaluation).

Active vs passive

  • Active : l'utilisateur est invité à réaliser une action (cligner des yeux, tourner la tête, lire un code). Efficace contre les attaques statiques, mais crée de la friction.
  • Passive : l'analyse s'effectue en arrière-plan sans interaction. Elle détecte les deepfakes, les masques et les injections vidéo numériques. Recommandée pour les parcours à faible friction.

Le cadre eIDAS 2.0 et le Portefeuille d'identité numérique européen (EUDIW) s'appuient sur ces normes de vivacité pour les vérifications à distance de niveau élevé d'assurance (LoA High).

Performances et indicateurs clés

FAR, FRR et EER : ce qu'ils signifient en pratique

  • FAR (False Acceptance Rate) : probabilité qu'un imposteur soit accepté. Un FAR de 0,01 % signifie qu'en moyenne 1 tentative frauduleuse sur 10 000 aboutit.
  • FRR (False Rejection Rate) : probabilité qu'un utilisateur légitime soit rejeté. Un FRR élevé génère de la friction et des coûts de support.
  • EER : point où FAR = FRR. Il est utilisé pour comparer les systèmes biométriques entre eux.

Pour les applications KYC réglementées, le standard de l'industrie fixe un FAR inférieur à 0,01 % avec une détection de vivacité certifiée ISO/IEC 30107-3 niveau 2.

Données CheckFile

Notre plateforme de vérification documentaire et biométrique affiche un taux de rappel en détection de fraude de 94,8 %, un taux de faux positifs de 3,2 % et un délai moyen de vérification de 4,2 secondes. Les fraudes aux documents d'identité représentent 19 % de l'ensemble des fraudes documentaires détectées — un signal qui justifie le couplage systématique de l'analyse documentaire et de la vérification biométrique.

Déploiement : bonnes pratiques

Choisir la bonne modalité selon le contexte

Le choix de la modalité biométrique dépend du canal, du niveau de risque et des contraintes réglementaires. L'empreinte digitale convient aux contextes physiques (agences, bornes) ; la reconnaissance faciale est la plus adaptée à l'onboarding à distance ; la reconnaissance vocale s'intègre aux canaux téléphoniques.

Intégrer la biométrie dans un dispositif multicouche

La biométrie seule ne suffit pas à satisfaire les obligations de vigilance réglementaire. Elle doit être couplée à la vérification documentaire (analyse OCR, détection de falsification, vérification MRZ) et à la vérification des données (listes de sanctions, PPE, vérification adresse). C'est cette combinaison qui constitue un dispositif KYC conforme au sens d'AMLD6.

Pour en savoir plus sur les méthodes de vérification d'identité disponibles, consultez notre article sur la vérification d'identité : méthodes et technologies.

Conformité CNIL : les étapes clés

  1. Réaliser une AIPD avant tout déploiement.
  2. Identifier une base légale valide au titre de l'article 9(2) du RGPD.
  3. Appliquer le principe de minimisation : ne collecter que le gabarit, pas l'image brute, lorsque c'est possible.
  4. Définir la durée de conservation et les modalités de suppression des gabarits.
  5. Pour la biométrie au travail, respecter le Règlement-type CNIL et consulter les représentants du personnel.
  6. Documenter le traitement au registre des activités (article 30 RGPD).

Consultez la page dédiée de la CNIL sur la biométrie pour les dernières recommandations.

Risques et limites à connaître

La vérification biométrique présente des risques spécifiques. Les gabarits biométriques sont permanents : contrairement à un mot de passe, ils ne peuvent pas être réinitialisés en cas de compromission. Les attaques par injection (substitution d'un flux vidéo synthétique à la caméra) contournent les systèmes sans détection de vivacité certifiée. Les biais algorithmiques — variation des performances selon l'origine ethnique, l'âge ou le sexe — sont documentés et peuvent exposer l'opérateur à des risques de discrimination. L'article 10 du Règlement (UE) 2024/1689 impose des exigences de qualité et de représentativité des données d'entraînement pour atténuer ces biais.

Questions fréquemment posées

La vérification biométrique est-elle obligatoire pour le KYC ?

Non, la vérification biométrique n'est pas obligatoire par défaut. AMLD6 impose la vérification de l'identité à partir de documents fiables, mais laisse le choix des moyens. La biométrie est requise dans certains référentiels nationaux — par exemple, le référentiel PVID de l'ANSSI pour les vérifications à distance de niveau élevé de confiance — ou imposée contractuellement par des institutions financières dans leurs politiques KYC internes.

Quelle est la différence entre vérification et identification biométrique sous l'AI Act ?

La vérification biométrique (1:1) compare un échantillon à un gabarit connu et lié à une personne identifiée. L'identification biométrique (1:N) recherche une correspondance dans une base entière sans identité préalablement connue. À compter du 2 août 2026, seule l'identification est présumée à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689. L'identification à distance en temps réel par les forces de l'ordre est en principe interdite par l'article 5.

Un consentement explicite est-il toujours requis pour la biométrie ?

Le consentement explicite (article 9(2)(a) du RGPD) est une base légale valide, mais pas la seule. Pour la biométrie au travail, la CNIL considère que le consentement n'est généralement pas libre au sens du RGPD en raison du déséquilibre entre employeur et salarié. D'autres fondements — convention collective, accord de branche, disposition légale — sont alors nécessaires. Pour les services en ligne, le consentement explicite reste la base principale.

Qu'est-ce que la détection de vivacité et pourquoi est-elle indispensable ?

La détection de vivacité (liveness detection) vérifie que l'échantillon biométrique provient d'une personne physiquement présente et non d'une photo, d'un masque ou d'un deepfake. Sans cette couche, un système de reconnaissance faciale peut être trompé par une simple photo imprimée. Les normes ISO/IEC 30107-3 niveaux 1 et 2 sont les références du marché. Le référentiel PVID de l'ANSSI impose une détection de vivacité certifiée pour les vérifications à distance de niveau élevé de confiance.

Comment une entreprise doit-elle gérer les gabarits biométriques au regard du RGPD ?

Les gabarits biométriques doivent être chiffrés au repos et en transit, stockés séparément des données d'identité, et supprimés dès que la finalité du traitement est atteinte. La durée de conservation doit être définie avant le déploiement et documentée dans le registre des activités (article 30). En cas de violation de données impliquant des gabarits biométriques, la notification à la CNIL sous 72 heures est obligatoire (article 33 du RGPD). Contrairement à un mot de passe, un gabarit biométrique compromis ne peut pas être modifié.

La vérification biométrique est une technologie mature, précise et désormais intégrée aux principaux référentiels réglementaires européens. Son déploiement exige une conformité rigoureuse au RGPD, à l'AI Act et aux recommandations de la CNIL, ainsi qu'une architecture technique qui couple biométrie, analyse documentaire et détection de vivacité certifiée.

CheckFile, solution de vérification documentaire et d'identité, intègre l'analyse biométrique dans un dispositif multicouche conforme aux exigences AMLD6, RGPD et AI Act. Les traitements sont hébergés exclusivement dans l'Union européenne. Découvrez nos fonctionnalités de sécurité ou comparez nos offres tarifaires pour estimer le coût selon votre volume de vérifications. Pour une vue d'ensemble du cadre données et fraude, consultez notre guide données et fraude.

Approfondir le sujet

Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.

Articles associés

Données10 min

RegTech en France : technologie réglementaire 2026

La RegTech révolutionne la conformité réglementaire en 2026. Marché mondial à 23 Md$, solutions KYC/AML, rôle de l'ACPR et de l'AMF

Lire
Données15 min

ROI de l'automatisation conformité : étude chiffrée par secteur

Retour sur investissement de l'automatisation de la conformité documentaire : benchmarks par industrie, calculateur de coûts et données 2026.

Lire
Données16 min

Calculateur ROI vérification documentaire : analyse TCO et retour sur investissement

Calculez le ROI de l'automatisation de la vérification documentaire. Analyse TCO complète : coûts manuels vs automatisés, délai de rentabilité et gains par secteur.

Lire