Vie privée & cybersécurité9 min de lecture

Paiement biométrique : visage ou paume, est-ce sûr ?

Payer en présentant son visage ou sa paume arrive en magasin. Entre Face ID, Amazon One et la Chine, on regarde ce qui est vraiment protégé et ce qui ne l'est pas.

Par Jean Weber

Une main survole un lecteur biometrique a anneau lumineux pour payer a une caisse de supermarche
Sommaire

Tendre la paume au-dessus d'un lecteur, ou simplement regarder une caméra, et c'est payé. Plus de carte, plus de téléphone, plus de code. La promesse est séduisante, et elle débarque pour de vrai en magasin. Reste la question qui fâche : quand votre moyen de paiement, c'est votre corps, qu'est-ce qui se passe en cas de pépin ? Voilà ce qu'il faut comprendre avant de poser la main sur le scanner.

Payer avec son corps, ça veut dire quoi au juste ?

Le paiement biométrique, c'est valider une transaction avec une caractéristique physique au lieu d'une carte ou d'un code. Trois familles cohabitent aujourd'hui : l'empreinte digitale (la plus répandue, déjà dans nos téléphones), le visage (la reconnaissance faciale) et la paume, qui lit à la fois les plis de la main et le réseau de veines sous la peau. L'idée commune : remplacer quelque chose que vous possédez (la carte) ou que vous savez (le code) par quelque chose que vous êtes.

Concrètement, vous croisez déjà deux usages très différents. Le premier, vous l'utilisez tous les jours sans y penser : déverrouiller Apple Pay ou Google Wallet avec votre empreinte ou votre visage pour valider un paiement sans contact. Là, la biométrie ne sert qu'à débloquer votre téléphone, qui transmet ensuite un paiement classique. Le second usage est plus radical : présenter directement votre visage ou votre paume à un terminal du magasin, sans rien d'autre. C'est ce que testent Amazon, Mastercard ou les géants chinois. Et c'est là que les questions de sécurité changent complètement de nature.

Visage, paume, empreinte : laquelle résiste le mieux à la fraude ?

Toutes les biométries ne se valent pas face à un fraudeur. Le visage est la plus exposée, pour une raison simple : il est public. Vous l'exposez sur des milliers de photos en ligne, et l'IA générative sait désormais en faire des copies animées convaincantes. Entre janvier et août 2025, la société de cybersécurité Group-IB a recensé plus de 8 000 tentatives d'attaque par injection contre une seule institution financière, toutes basées sur des images deepfake envoyées via de fausses caméras. Sur la même période, la fraude par deepfake a explosé, et un kit pour fabriquer un faux visage animé se loue entre 10 et 50 dollars. C'est la même dynamique que la fraude dopée à l'IA qu'on voit monter partout ailleurs.

La paume change la donne sur un point : le réseau veineux est interne. On ne le photographie pas dans la rue, il faut un capteur infrarouge au contact pour le lire, et il ne fonctionne que sur une main vivante et irriguée. C'est pour ça qu'Amazon et WeChat ont misé sur le couple empreinte palmaire plus veines, jugé plus dur à copier qu'un visage. Mais aucune biométrie n'est infaillible, et toutes partagent un défaut structurel : un mot de passe volé, vous le changez en trente secondes. Votre visage et votre paume, non. Une fois la donnée compromise, elle l'est à vie. D'où l'importance capitale de la question suivante.

Gros plan d'une paume ouverte avec un reseau de veines lumineuses, scan veineux biometrique

La vraie question : vos données dorment-elles sur votre téléphone ou dans le cloud ?

C'est le point qui détermine presque tout le reste, et la plupart des articles l'oublient. Il existe deux architectures opposées. Dans la première, votre gabarit biométrique ne quitte jamais votre appareil. C'est le modèle de Face ID et de Touch ID : Apple stocke une représentation mathématique de votre visage dans une puce isolée, le Secure Enclave, qui ne la transmet ni à Apple, ni à iCloud, ni au commerçant. Le téléphone se contente de répondre « oui, c'est bien lui » au moment de payer. Même principe que les passkeys : le secret reste chez vous, seul un feu vert circule.

Dans la seconde architecture, c'est l'inverse. Quand vous enregistrez votre paume sur un terminal Amazon One, l'image de votre main et de vos veines part chiffrée vers le cloud d'Amazon (AWS), où une signature unique est créée et conservée. Alipay et WeChat fonctionnent aussi avec un gabarit stocké côté serveur. L'avantage : vous n'avez besoin d'aucun appareil à vous, n'importe quel magasin équipé vous reconnaît. L'inconvénient saute aux yeux : votre biométrie vit désormais dans une base de données centrale, qui devient une cible. Tant qu'elle reste sur votre appareil, un pirate doit voler votre téléphone précis. Dès qu'elle est centralisée, une seule brèche peut exposer des millions de gabarits d'un coup. Quand on vous propose de payer avec votre corps, la première question à poser n'est pas « est-ce que ça marche bien », mais « où atterrit ma donnée ».

Ce que dit la loi en France et en Europe

En Europe, la biométrie n'est pas une donnée comme une autre. Le RGPD la classe en « catégorie particulière » (article 9) et en interdit le traitement par principe, sauf exceptions, dont la principale est votre consentement explicite. La CNIL insiste : ce consentement doit être libre, spécifique et éclairé, et une alternative non biométrique doit toujours rester possible. Autrement dit, un commerçant français ne peut pas vous imposer le scan du visage comme seul moyen de payer, ni récupérer votre gabarit « au cas où ». Le principe de proportionnalité s'applique aussi : on n'utilise une donnée aussi sensible que si rien de moins intrusif ne fait l'affaire. À cela s'ajoute désormais l'AI Act, entré en vigueur en 2025, qui encadre les systèmes d'identification biométrique. Pour le détail des obligations qui en découlent, on a déjà décortiqué le RGPD et l'AI Act côté entreprises.

Ce cadre explique le grand écart avec la Chine, où le paiement par le visage est entré dans les mœurs bien plus vite. Alipay a lancé son « Smile to Pay » dès 2017 dans un KFC de Hangzhou, et WeChat a déployé le paiement par la paume dans le métro de Pékin en 2023. Mais même là-bas, le vent tourne : depuis 2025, la réglementation chinoise interdit d'imposer la reconnaissance faciale et oblige les commerces à proposer une alternative. Partout, la tendance converge vers la même règle de bon sens : la biométrie de confort, oui, mais jamais sans choix.

Alors, on s'y met ? Ce que l'échec d'Amazon One nous apprend

La meilleure leçon du moment vient d'un revers. Après avoir équipé plus de 500 magasins Whole Foods aux États-Unis fin 2025, Amazon a débranché Amazon One dans le retail le 3 juin 2026 et retire ses lecteurs des rayons. La raison officielle n'est pas un problème de sécurité, mais d'adoption : sur un an, le système a traité 36,7 millions d'articles répartis sur 17,7 millions de sessions, un volume jugé trop faible pour continuer. Le paiement par la paume arrivait quatrième, loin derrière l'empreinte et le visage. Point rassurant pour les utilisateurs concernés : Amazon s'est engagé à supprimer les données biométriques liées au service.

Que retenir pour vous, en pratique ? D'abord, la forme la plus sûre du paiement biométrique est aussi la plus banale : déverrouiller votre téléphone avec votre empreinte ou votre visage pour valider un paiement, puisque la donnée ne quitte jamais l'appareil. Ensuite, devant un terminal qui scanne directement votre visage ou votre paume, posez les bonnes questions : où sont stockées mes données, puis-je payer autrement, puis-je les effacer ? Enfin, gardez en tête que la commodité a un prix asymétrique : vous gagnez quelques secondes à la caisse, mais vous confiez une donnée que vous ne pourrez jamais réinitialiser. Le recul d'Amazon le montre bien : entre la prouesse technique et l'usage quotidien, c'est la confiance qui tranche, pas le capteur.

FAQ

Le paiement biométrique est-il plus sûr que la carte bancaire ?

Ça dépend de l'architecture. Quand la biométrie sert juste à déverrouiller votre téléphone (Apple Pay, Google Wallet), c'est au moins aussi sûr qu'une carte, car votre empreinte ou votre visage ne sort jamais de l'appareil. Quand un terminal de magasin scanne directement votre corps et envoie le gabarit dans le cloud, le risque se déplace vers la base de données centrale, qui peut être piratée en masse.

Peut-on me voler mon visage ou ma paume pour payer à ma place ?

C'est l'enjeu principal. Le visage est le plus exposé, car une photo ou une vidéo deepfake peut tromper un système mal protégé, d'où les systèmes de détection du vivant (« liveness »). La paume veineuse est plus difficile à copier, car les veines sont sous la peau et exigent une main vivante. Mais le vrai danger n'est pas qu'on imite votre corps, c'est qu'on vole le gabarit stocké dans une base de données.

Que deviennent mes données si l'entreprise arrête le service ou fait faillite ?

Bonne question, et l'actualité y répond. En arrêtant Amazon One en juin 2026, Amazon s'est engagé à effacer les données biométriques de ses clients. En Europe, le RGPD impose justement de ne conserver une donnée sensible que le temps nécessaire et de la supprimer ensuite. Avant de vous enregistrer, vérifiez que le service précise une politique d'effacement claire.

Le paiement par reconnaissance faciale est-il légal en France ?

Oui, mais sous conditions strictes. La biométrie est interdite par principe sauf consentement explicite, libre et éclairé, et une alternative non biométrique doit rester disponible. Un commerçant ne peut donc pas vous imposer le scan du visage comme unique moyen de payer.

Une simple photo de moi suffit-elle à tromper le système ?

Sur un système sérieux, non, grâce à la détection du vivant qui vérifie qu'il s'agit d'un vrai visage en 3D et non d'une image. Mais les attaques évoluent vite : en 2025, des fraudeurs ont injecté des vidéos deepfake via de fausses caméras pour contourner ces protections. C'est un jeu du chat et de la souris permanent, ce qui est une raison de plus de privilégier les solutions où votre donnée reste sur votre appareil.

Sources

À lire aussi