Une faille de sécurité
dans le système informatique de la start-up américaine Clearview AI a révélé
que plus de 2200 organismes publics et privés dans le monde utilisaient sa
technologie de reconnaissance faciale. Bien qu’elle ait promis depuis qu’elle
ne la vendrait plus qu’aux forces de l’ordre, son fonctionnement et son
utilisation suscitent des inquiétudes concernant la vie privée des individus.
Un dispositif de reconnaissance faciale
utilisé dans le monde entier
La jeune start-up américaine, Clearview AI - développée en 2016 par Hoan Ton-That - indique sur son site que son outil de reconnaissance faciale
permet d’aider « les forces de l’ordre et à traquer des centaines de
criminels en général, notamment des pédophiles, des terroristes et des
trafiquants sexuels ». Une intention louable dira-t-on.
Le dispositif est d’ailleurs très
simple : il suffit de prendre une personne en photo et de téléverser
l’image pour qu’elle se retrouve sur une base de données – qui à ce jour
dispose de 3 milliards d’images.
Or, en février dernier, une
faille de sécurité dans son système informatique a révélé la liste de ses clients
utilisant cette technologie de reconnaissance faciale et autant dire qu’elle est
très longue. Environ 2200 organismes ont été comptés parmi ses clients, dont le
FBI, Interpol, des organismes gouvernementaux et des forces de police en
Australie, au Canada, au Brésil mais aussi la France, le Danemark, le
Royaume-Uni, l’Espagne, les Pays-Bas et plusieurs autres pays européens.
Jusque-là, bien que la liste
donne des vertiges, Clearview AI respecte ses engagements, ne mettant à
disposition son outil qu’aux forces de l’ordre. Sauf que parmi les 2200
organismes utilisant l’outil de reconnaissance faciale, de nombreuses
entreprises privées ont été répertoriées suscitant d’autant plus d’inquiétudes alors
qu’il suffisait, il y a encore peu, de ne remplir qu’un formulaire en ligne
pour s’inscrire. Et donc avoir accès à la base de données.
La NBA, Macy’s, Bank of America,
T-Mobile ou encore Coinbase font partie des entreprises listées comme clients.
Soit, des entreprises commerciales, électroniques, bancaires, financières, très
éloignées des fonctions des forces de l’ordre. D’ailleurs, lorsque Buzzfeed
News les a contactées, la plupart ont nié utiliser l’outil de reconnaissance
faciale ou affirmé qu’ils ne l’utilisaient que dans le cadre d’essais gratuits
allant jusque 30 jours en moyenne.
Il aura fallu ces révélations et
la plainte d’un groupe de citoyens de l’Illinois concernant l’utilisation des
données biométriques de l’entreprise à des fins commerciales pour que Clearview
décide début mai de mettre fin aux contrats passés avec les entreprises. Bonne
nouvelle ? Pas vraiment. Les critiques sur l’utilisation de la
reconnaissance faciale ont très vite envahi l’espace médiatique et notamment
sur le fonctionnement de l’entreprise.
Une technologie qui peut s’avérer
dangereuse
Mais d’où proviennent donc ces
photos permettant d’alimenter la base de données de Clearview AI ? Il
parait peu probable que les individus transmettent d’eux-mêmes leurs photos à
l’entreprise pour finir ficher.
L’entreprise enregistre tout
simplement les photos disponibles sur les autres plateformes numériques telles
que Facebook, YouTube, Google, Twitter ou encore LinkedIn. Or, cela ne semble
pas être du goût des acteurs qui ont mis en demeure l'entreprise pour qu'elle
mette un terme à toute collecte d'images sur leurs sites respectifs.
Face à ces critiques, le
fondateur de la start-up s’est justifié en affirmant agir en toute
légalité : "notre système est conçu pour ne prendre que des
informations disponibles publiquement".
A l’échelle européenne, le RGPD est
supposé garantir nos droits et nos données numériques. Or, dans le cas de
Clearview, la
reconnaissance faciale a recours à des données biométriques donnant lieu à
l’utilisation et aux traitements de données personnelles. Pas certain que cela
soit très conforme au règlement européen. Et pourtant, que Clearview AI soit utilisé ou non en
France, il est fort probable que la technologie ait déjà dans sa base de
données les photographies des Français disponibles sur les réseaux
sociaux.
Outre cette violation de la vie
privée, c’est bien entendu la gestion de ses données et leur utilisation par des
tiers qui suscitent une grande inquiétude. Il est tout à fait possible que des
gouvernements utilisent cette base de données pour surveiller ou arrêter des
opposants politiques ou des activistes en toute illégalité. Mais il est
également envisageable que la base de données soit erronée puisque les
personnes fichées ont été trouvé par hasard sur internet. Au vu des 3 milliards
de données stockées, certaines personnes pourraient se retrouver surveiller par
les forces de l’ordre par pure erreur.
Surtout, les possibilités
d’utilisation de ces données sont illimitées et imprévisibles. Les clients de
Clearview auront tous des objectifs différents : fins commerciales,
surveillance politique, espionnage, chantage etc. Personne n’est donc à l’abri.
La
France expérimente la reconnaissance faciale avec Alicem
Expérimentée
depuis juin 2019, l’application mobile Alicem doit permettre aux Français de
s’identifier facilement sur l’ensemble des services de FranceConnect - dispositif
étatique permettant l’accès à plus de 500 services publics.
Ce
système d’identification numérique est basé sur une technologie biométrique
dite « forte » qui nécessite de filmer son visage sous différents angles puis
de scanner son passeport biométrique pour se connecter. Les données sont
ensuite envoyées à l’ANTS (Agence nationale des titres sécurisés) qui les
compare à l’aide d’un logiciel de reconnaissance faciale.
Autant
dire que ce système ne fait pas l’unanimité. En juillet 2019, l’association
La Quadrature du Net qui défend et promeut les droits et libertés
individuelles dans l’environnement numérique a déposé un recours devant le
Conseil d’État demandant l’annulation d’Alicem. Selon l’association, le
gouvernement participe « à la banalisation » de la reconnaissance
faciale alors même que la CNIL avait souligné son illégalité.
|
Depuis la plainte des Illinois,
Clearview a déclaré mettre fin aux contrats avec les entreprises. Elle aurait décidé
de prendre des mesures pour empêcher sa technologie de recueillir des données –
mais seulement auprès des résidents de l’Illinois – et d’interdire les photos
contenant des métadonnées (e.g des sources permettant de caractériser une photo et de garantir sa traçabilité).
Cependant, il n’y a
aucune certitude sur l’efficacité de ces mesures annoncées et si
cela permettra de prévenir de futures violations de la vie privée des
individus. Une chose est sûre, tant qu’aucune surveillance réglementaire sera
mise en place, Clearview pourra aisément continuer sa collecte et vente des données
personnelles.
Pour aller plus loin :
|
Aucun commentaire:
Enregistrer un commentaire