Ce vendredi 3 avril 2020, à 2h02 du matin, j’ai reçu un email que j’attendais avec impatience depuis un mois. Et malheureusement, j’ai été très déçu à la lecture des premières lignes : « Bonjour, merci pour votre demande d’accès aux données. Nous avons utilisé l’image que vous avez partagée avec nous pour lancer une recherche Clearview, et nous n’avons obtenu aucun résultat. »
La startup de reconnaissance faciale Clearview AI revendique une base de 3 milliards d’images, mais n’aurait aucune photo de moi ? Elle aspire les photos publiques postées sur Facebook, Twitter, et aux quatre coins du web, mais ne m’aurait pas trouvé ? Pourtant, rien qu’en tapant mon nom sur Google Images, quatre photos s’affichent.
Clearview enchaîne les scandales aux États-Unis
Tant mieux, pourrais-je me dire : l’entreprise prétend vendre son service de reconnaissance faciale uniquement aux forces de l’ordre, mais d’autres personnalités et entreprises y ont accès. Pire, Clearview encourage un usage abusif de sa technologie pour convaincre ses potentiels clients.
Vous l’aurez compris, Clearview a fait couler beaucoup d’encre aux États-Unis, après que le New York Times a mis l’entreprise sous les projecteurs, le 18 janvier 2020. La startup se confronte désormais à des procédures judiciaires enclenchées par Facebook, Twitter et des rassemblements de particuliers.
Des usages abusifs de la reconnaissance faciale
Le principal argument de vente de l’entreprise est son efficacité. Vous entrez une seule photo dans le logiciel, sans aucune autre information, et il vous donnera grâce à un algorithme de reconnaissance faciale plusieurs photos de la même personne. Clearview indique la provenance de ces photos (réseaux sociaux, sites d’entreprise, sites associatifs…), ce qui permet de remonter à toutes sortes d’informations.
Un agent des forces de l’ordre peut donc se servir du logiciel pour identifier un criminel à partir d’une photo de caméra de surveillance. Du moins, c’est l’unique finalité affichée par la startup. Mais en réalité, Clearview équipe aussi des supermarchés, est utilisé par la NBA (la ligue de basketball américaine), ou encore permet à des millionnaires d’identifier le garçon ramené par leur fille en soirée…
Clearview AI est-il en Europe ?
Clearview aspire des milliards de photos et les stocke sur ses serveurs, sans qu’à aucun moment les personnes concernées y aient consenti, alors qu’il s’agit de données personnelles.
Pourtant, dans l’Union européenne, le règlement général sur la protection des données (RGPD), entré en vigueur en 2018, a mis le consentement de l’utilisateur au centre de la protection de la vie privée. Le RGPD est donc, en théorie, l’arme ultime contre Clearview. Et le texte s’applique à tous les résidents de l’UE, même si le traitement des données personnelles se fait aux États-Unis.
Dans ses sorties médiatiques, Clearview n’a jamais mentionné de client européen, et si la question a été abordée par les autorités, l’entreprise n’a jamais communiqué sur le sujet.
Clearview parvient à ne pas toucher aux données des Européens ?
Pour rappel, le logiciel aspire les photos — uniquement les photos — en masse et de façon automatique. Comment fait-il alors pour distinguer les résidents européens des autres personnes ? Numerama a posé la question à l’entreprise, qui n’a pour l’instant pas répondu.
Début mars, Buzzfeed a mis la main sur la liste des clients de Clearview AI. Si le site américain n’a pas divulgué les noms, il affirme que la startup de reconnaissance faciale a des clients un peu partout en Europe, et notamment en France.
Pour vérifier si Clearview collecte les données des Européens, j’ai essayé d’obtenir les données d’un résident français : moi. Pour y parvenir, j’ai adapté l’email envoyé par la journaliste de Vice Anna Merlan, en vertu CCPA (California Consumer Privacy Act), l’équivalent californien du RGPD. Un résident de l’état peut demander de voir quelles photos ont été collectées, d’exiger que l’entreprise les supprime de sa base et qu’elle n’en collecte plus à l’avenir. Grâce à ce processus, la journaliste de Vice a reçu un document PDF avec 10 photos d’elle.
Clearview s’évite-t-elle une amende de 20 millions d’euros ?
Lorsque j’ai écrit ma demande, le lundi 2 mars, le site de Clearview ne mentionnait pas le RGPD. Aujourd’hui, il met à disposition un formulaire sur son site. J’ai envoyé l’email suivant : « Bonjour, en tant que résident européen, je fais la demande suivante en vertu du droit de l’Union européenne, le RGPD. Veuillez fournir toutes les données personnelles à mon sujet que vous avez obtenues, la méthode par laquelle vous les avez obtenues et comment elles ont été utilisées. » En pièce jointe, j’ai donné mon plus beau selfie — pris au bureau — puisque le logiciel ne peut lancer une recherche qu’à partir d’une image. J’ai également fourni une copie de mon passeport : Clearview demande un document d’identité pour protéger ses utilisateurs contre des demandes malveillantes.
Sans réponse, j’ai relancé l’entreprise le vendredi, et un employé m’a répondu que ma demande était prise en compte. « Le processus de suppression va prendre du temps. Veuillez nous accorder 30 jours pour l’effectuer », ont-ils ajouté. Je n’avais demandé qu’à voir mes photos, et non à les supprimer, mais soit. En acceptant ma demande, Clearview reconnaît en quelques sortes l’autorité du RGPD sur sa base de données.
Après cet échange, je n’ai plus eu de réponse pendant 30 jours. J’ai alors à nouveau relancé l’entreprise. Une poignée d’heure après, j’obtenais ma réponse : l’entreprise n’a pas de données sur moi. L’email précise : « partager une autre photo de vous pourrait produire d’autres résultats. »
Clearview n’aurait donc aspiré aucune de mes photos ?
Un mois d’attente, un mois de « traitement » pour finalement apprendre qu’ils n’ont aucune de mes photos dans leurs bases. Pourtant, j’ai des photos en accès public sur le site de mon précédent employeur, sur celui de Numerama, ou encore sur Twitter.
Côté américain, la journaliste de Vice et celui de One Zero ont récupéré respectivement 11 et 10 photos. Certaines proviennent de journaux universitaires, de photos postées par des amis ou encore de blogs personnels. D’autres ne sont plus en accès public, mais ont été aspirées quand elles l’étaient encore. Anna Merlan explique que la plus ancienne photo qu’elle a récupérée date de 2004 alors qu’elle avait à peine 15 ans, tandis que la plus récente date de 2019. Mais Clearview n’a pas été capable de trouver une photo de moi.
Si l’entreprise traitait des données personnelles de résidents européens sans leur consentement, elle s’exposerait à une amende de 20 millions d’euros. Peut-être une piste à explorer ?
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.