Clearview AI : la reconnaissance faciale au détriment de la vie privée

Une faille de sécurité dans le système informatique de la start-up américaine Clearview AI a révélé que plus de 2200 organismes publics et privés dans le monde utilisaient sa technologie de reconnaissance faciale. Bien qu’elle ait promis depuis qu’elle ne la vendrait plus qu’aux forces de l’ordre, son fonctionnement et son utilisation suscitent des inquiétudes concernant la vie privée des individus.

Un dispositif de reconnaissance faciale utilisé dans le monde entier

La jeune start-up américaine, Clearview AI - développée en 2016 par Hoan Ton-That - indique sur son site que son outil de reconnaissance faciale permet d’aider « les forces de l’ordre et à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ». Une intention louable dira-t-on.

Le dispositif est d’ailleurs très simple : il suffit de prendre une personne en photo et de téléverser l’image pour qu’elle se retrouve sur une base de données – qui à ce jour dispose de 3 milliards d’images.

Or, en février dernier, une faille de sécurité dans son système informatique a révélé la liste de ses clients utilisant cette technologie de reconnaissance faciale et autant dire qu’elle est très longue. Environ 2200 organismes ont été comptés parmi ses clients, dont le FBI, Interpol, des organismes gouvernementaux et des forces de police en Australie, au Canada, au Brésil mais aussi la France, le Danemark, le Royaume-Uni, l’Espagne, les Pays-Bas et plusieurs autres pays européens.

Jusque-là, bien que la liste donne des vertiges, Clearview AI respecte ses engagements, ne mettant à disposition son outil qu’aux forces de l’ordre. Sauf que parmi les 2200 organismes utilisant l’outil de reconnaissance faciale, de nombreuses entreprises privées ont été répertoriées suscitant d’autant plus d’inquiétudes alors qu’il suffisait, il y a encore peu, de ne remplir qu’un formulaire en ligne pour s’inscrire. Et donc avoir accès à la base de données.

La NBA, Macy’s, Bank of America, T-Mobile ou encore Coinbase font partie des entreprises listées comme clients. Soit, des entreprises commerciales, électroniques, bancaires, financières, très éloignées des fonctions des forces de l’ordre. D’ailleurs, lorsque Buzzfeed News les a contactées, la plupart ont nié utiliser l’outil de reconnaissance faciale ou affirmé qu’ils ne l’utilisaient que dans le cadre d’essais gratuits allant jusque 30 jours en moyenne.

Il aura fallu ces révélations et la plainte d’un groupe de citoyens de l’Illinois concernant l’utilisation des données biométriques de l’entreprise à des fins commerciales pour que Clearview décide début mai de mettre fin aux contrats passés avec les entreprises. Bonne nouvelle ? Pas vraiment. Les critiques sur l’utilisation de la reconnaissance faciale ont très vite envahi l’espace médiatique et notamment sur le fonctionnement de l’entreprise.

Une technologie qui peut s’avérer dangereuse

Mais d’où proviennent donc ces photos permettant d’alimenter la base de données de Clearview AI ? Il parait peu probable que les individus transmettent d’eux-mêmes leurs photos à l’entreprise pour finir ficher.

L’entreprise enregistre tout simplement les photos disponibles sur les autres plateformes numériques telles que Facebook, YouTube, Google, Twitter ou encore LinkedIn. Or, cela ne semble pas être du goût des acteurs qui ont mis en demeure l'entreprise pour qu'elle mette un terme à toute collecte d'images sur leurs sites respectifs.

Face à ces critiques, le fondateur de la start-up s’est justifié en affirmant agir en toute légalité : "notre système est conçu pour ne prendre que des informations disponibles publiquement".

A l’échelle européenne, le RGPD est supposé garantir nos droits et nos données numériques. Or, dans le cas de Clearview, la reconnaissance faciale a recours à des données biométriques donnant lieu à l’utilisation et aux traitements de données personnelles. Pas certain que cela soit très conforme au règlement européen. Et pourtant, que Clearview AI soit utilisé ou non en France, il est fort probable que la technologie ait déjà dans sa base de données les photographies des Français disponibles sur les réseaux sociaux. 

Outre cette violation de la vie privée, c’est bien entendu la gestion de ses données et leur utilisation par des tiers qui suscitent une grande inquiétude. Il est tout à fait possible que des gouvernements utilisent cette base de données pour surveiller ou arrêter des opposants politiques ou des activistes en toute illégalité. Mais il est également envisageable que la base de données soit erronée puisque les personnes fichées ont été trouvé par hasard sur internet. Au vu des 3 milliards de données stockées, certaines personnes pourraient se retrouver surveiller par les forces de l’ordre par pure erreur.

Surtout, les possibilités d’utilisation de ces données sont illimitées et imprévisibles. Les clients de Clearview auront tous des objectifs différents : fins commerciales, surveillance politique, espionnage, chantage etc. Personne n’est donc à l’abri.

La France expérimente la reconnaissance faciale avec Alicem  Expérimentée depuis juin 2019, l’application mobile Alicem doit permettre aux Français de s’identifier facilement sur l’ensemble des services de FranceConnect - dispositif étatique permettant l’accès à plus de 500 services publics. Ce système d’identification numérique est basé sur une technologie biométrique dite « forte » qui nécessite de filmer son visage sous différents angles puis de scanner son passeport biométrique pour se connecter. Les données sont ensuite envoyées à l’ANTS (Agence nationale des titres sécurisés) qui les compare à l’aide d’un logiciel de reconnaissance faciale. Autant dire que ce système ne fait pas l’unanimité. En juillet 2019, l’association La Quadrature du Net qui défend et promeut les droits et libertés individuelles dans l’environnement numérique a déposé un recours devant le Conseil d’État demandant l’annulation d’Alicem. Selon l’association, le gouvernement participe « à la banalisation » de la reconnaissance faciale alors même que la CNIL avait souligné son illégalité.

Depuis la plainte des Illinois, Clearview a déclaré mettre fin aux contrats avec les entreprises. Elle aurait décidé de prendre des mesures pour empêcher sa technologie de recueillir des données – mais seulement auprès des résidents de l’Illinois – et d’interdire les photos contenant des métadonnées (e.g des sources permettant de caractériser une photo et de garantir sa traçabilité).

Cependant, il n’y a aucune certitude sur l’efficacité de ces mesures annoncées et si cela permettra de prévenir de futures violations de la vie privée des individus. Une chose est sûre, tant qu’aucune surveillance réglementaire sera mise en place, Clearview pourra aisément continuer sa collecte et vente des données personnelles.

Pour aller plus loin : La Quadrature du Net, “La Quadrature du Net attaque l’application Alicem, contre la généralisation de la reconnaissance faciale“. Juillet 2019 Kashmir Hill, “The Secretive Company That Might End Privacy as We Know It” NY Times. Janvier 2020 Ryan Mac, Caroline Haskins and Logan McDonald, “Clearview’s Facial Recognition App Has Been Used By The Justice Department, ICE, Macy’s, Walmart, And The NBA” Buzzfeed News. Février 2020 Alice Vitard, “Clearview AI promet de ne vendre sa technologie de reconnaissance faciale qu'aux forces de l'ordre“ Usine Digitale. Mai 2020.