Selon les experts, l’industrie des logiciels de reconnaissance faciale se heurte à des obstacles législatifs dans ses efforts pour récupérer vos photos sur Internet.

L’organisme britannique de surveillance de la protection des données a confirmé une sanction à l’encontre de Clearview AI, une société controversée spécialisée dans la reconnaissance faciale. L’entreprise a collecté des images de personnes sur le web et les médias sociaux pour créer une base de données mondiale en ligne que la police peut utiliser.

« La pratique consistant à gratter les images et les identités des personnes sans leur consentement et à effectuer une reconnaissance faciale à partir de ces données est d’une légalité douteuse, et constitue une violation grave de la vie privée du public », a déclaré Avi Golan, le PDG de la société de reconnaissance faciale Oosto, dans une interview par courriel. « Même utilisé uniquement par les forces de l’ordre, cela viole la vie privée et la confiance du public dans la technologie. La fuite de ces capacités dans le secteur privé est une escalade dangereuse. »

Une société américaine de reconnaissance faciale se voit infliger une amende de 17 millions de livres sterling pour « violations graves ».

Fixer des limites

En Grande-Bretagne, Clearview se heurte au froid. Le bureau de la Commission de l’information du pays a déclaré que la société avait enfreint les lois sur la protection des données. Clearview a reçu l’ordre de supprimer les données qu’elle détient sur les résidents britanniques et l’interdiction de collecter davantage d’informations.

« Clearview AI Inc a collecté de multiples images de personnes dans le monde entier, y compris au Royaume-Uni, à partir de divers sites web et plateformes de médias sociaux, créant ainsi une base de données de plus de 20 milliards d’images », a déclaré John Edwards, le commissaire à l’information du Royaume-Uni, dans le communiqué.
L’entreprise permet non seulement d’identifier ces personnes, mais aussi de surveiller efficacement leur comportement et de le proposer comme un service commercial. C’est inacceptable. C’est pourquoi nous avons pris des mesures pour protéger les citoyens britanniques en infligeant une amende à la société et en publiant un avis d’exécution. »

L’un des problèmes de la technologie de reconnaissance faciale est qu’elle identifie souvent mal les minorités, a déclaré par courriel John Bambenek, expert en cybersécurité chez Netenrich, une société SaaS d’analyse de la sécurité et des opérations.

« Le problème supplémentaire est que les organisations, comme Facebook, par exemple, étant un écosystème ouvert, laissent la possibilité aux acteurs de la menace d’empoisonner les données avec des images pour fausser la reconnaissance faciale », a-t-il ajouté. « Dans le contexte des médias sociaux, les risques sont moindres, mais à mesure que la reconnaissance faciale est utilisée pour des fonctions plus importantes, le coût d’une reconnaissance erronée devient beaucoup plus élevé. »

Propagation de la méfiance à l’égard de la reconnaissance faciale

Une répression similaire à l’affaire britannique a déjà commencé aux États-Unis, puisque cette décision intervient deux semaines après qu’une affaire a été réglée à l’amiable entre Clearview, et l’ACLU, a souligné Mathieu Legendre, associé principal chargé de la confidentialité des données chez Schellman, un évaluateur de conformité en matière de sécurité et de confidentialité, dans un courriel adressé. Selon lui, le règlement limite fortement les activités commerciales de Clearview dans l’Illinois, et de manière moins restrictive, dans le reste du pays.

« Selon cet accord, Clearview AI ne pourra pas vendre sa base de données dans l’Illinois pendant cinq ans et, à quelques exceptions près, ne pourra traiter qu’avec des agences fédérales et des services de police locaux dans le reste du pays », a ajouté M. Legendre.

La décision britannique est un signe des choses à venir aux États-Unis, a déclaré Steven Stransky, professeur de droit qui enseigne la confidentialité numérique à la Case Western Reserve University, lors d’une interview par courriel. Il a déclaré qu’au cours des dernières années, plusieurs États et gouvernements locaux ont mis en œuvre des lois réglementant l’utilisation de la technologie de reconnaissance faciale, et il s’attend à ce que cette tendance se poursuive.

La plupart de ces lois portent sur la manière dont les autorités locales et les forces de l’ordre peuvent collecter, conserver et utiliser les données issues de la technologie de reconnaissance faciale. Toutefois, la législation réglemente également la manière dont les entreprises privées peuvent utiliser la reconnaissance faciale, a déclaré M. Stransky. La ville de New York a récemment promulgué une loi interdisant aux entreprises locales qui recueillent des données d’identification biométriques de tirer profit de ces données et les obligeant à informer leurs clients de leur utilisation de la reconnaissance faciale ou d’autres technologies pour recueillir ces données biométriques au moyen d’un panneau « clair et visible ».

« Nous continuerons à voir une augmentation des mesures d’application et des litiges de la part des régulateurs gouvernementaux, des groupes d’intérêt des libertés civiles et des citoyens privés contre les organisations qui violent les lois sur la technologie de reconnaissance faciale, et l’amende de l’ICO contre Clearview AI illustre les coûts importants associés à ces types de réclamations », a déclaré Stransky.

Signe possible que Clearview AI est consciente de l’hostilité à laquelle elle est confrontée en fournissant des données à la police, la société a récemment déclaré à Reuters qu’elle envisageait de vendre sa technologie aux écoles. Le nouveau programme associe des personnes à des photos d’identité pour permettre l’accès à des espaces physiques ou numériques.