Clearview AI : comment une entreprise aspire illégalement des millions de photos au service des forces de l’ordre
CyberVols, image, reconnaissance faciale, vol d'identité, vol de donnés,
Le New York Times s'est intéressé au cas inquiétant de
Clearview AI, une startup qui a créé un
outil de reconnaissance
faciale... à partir de millions d'images trouvées sur le web.
L'application, sortie
des pires scénarios de science-fiction, convainc
les utilisateurs, mais s'affranchit de plusieurs barrières légales.
Peut-elle s'installer dans les usages, alors qu'elle se confronte aux
lois américaines et au règlement européen sur les données en Europe ?
La fin justifie-t-elle les moyens ? Pour plus de 600
autorités publiques, des petites polices locales jusqu’au FBI, la
réponse est oui. Elles sont états-uniennes, canadiennes ou encore
indiennes et utilisent l’application de reconnaissance faciale de
Clearview AI, sur laquelle le New York Times
a enquêté. Créée en 2016, cette entreprise a constitué une base de
données de milliards d’images, en aspirant les données de Facebook,
Twitter ou encore YouTube. Sans aucune considération pour laloi.
Grâce à une technologie développée en interne, elle relie ensuite les images similaires entre elles
pour former des albums photos de personnes aléatoires. Chaque image est reliée à sa source (Facebook, par exemple). Un utilisateur de l’application peut donc retrouver l’identité d’une personne, voire son adresse, s’il dispose d’une seule photo qu’il a lui-même prise. Clearview
dispose ainsi d’une sorte de Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public.
La meilleure technologie pour retrouver un criminel ?
Clearview dispose d’un avantage concurrentiel exceptionnel : son application peut, en théorie, identifier une personne même si elle porte un chapeau ou des lunettes, quel que soit l’angle de laprise de vue. À l’heure actuelle, les logiciels autorisés aux États-Unis, en Inde ou au Canada ne contiennent que des photos officielles, c’est-à-dire des photos au format portrait, de face, prises
pour créer des papiers d’identité ou de lors d’arrestations. Comme tout service par abonnement, Clearview propose une offre d’essai de 30 jours, pour convaincre ses utilisateurs de la supériorité
de sa technologie.
La startup, qui compile aussi des images de personnes sans casier judiciaire, permet de retrouver des criminels en tout genre : du voleur de magasin filmé par un passant à un meurtrier filmé par une caméra de surveillance, en passant par un fraudeur bancaire trop peu prudent. Le Times relaie de nombreux témoignages d’utilisateurs plus que satisfaits de l’efficacité de la technologie, dont l’utilisation a commencé sans consultation du public.« La technologie pour résoudre les crimes les plus compliqués », lit-on sur le site de Clearview AI.
Pourtant, le débat autour de la reconnaissance faciale émerge aux États-Unis comme en France, et laisse déjà entrevoir de fortes oppositions. Il en est de même dans de nombreux pays, à part quelques exceptions, comme la Chine, où le gouvernement se sert de la technologie pour imposer une surveillance d’État.
Pour éviter de se retrouver au centre de l’attention, Clearview a donc opéré sous le radar : son site, très pauvre en information, n’a été réellement lancé que début 2020, alors que son business était
déjà bien installé.
L’aspiration illégale de données au centre de la technologie
L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping. Le principe est simple : un logiciel aspire de façon automatiquele contenu des pages web. Dans le cas de Smartcheckr, toutes les images accessibles librement y passent. Profils et photos publics sur Facebook, Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre employeur sont autant de sources d’images pour l’application. Même si ces sites écrivent de façon explicite dans leurs conditions générales d’utilisation (CGU) qu’ils interdisent
cette pratique. Résultat, alimenter constamment la base de donnée ne coûte presque rien à Clearview, puisqu’elle se sert librement. Ces économies lui permettent de proposer un prix d’abonnement
annuel à son service compris entre 2 000 et 10 000 dollars par an, une bouchée de pain pour sa cible de clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe
comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte
à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique
chez Aurore Légal.
La juriste énumère l’immense arsenal légal français et européen qui pourrait, sous condition d’apports de preuves, qualifier les pratiques de Clearview : concurrence déloyale et parasitisme, extraction non-autorisée, fraude informatique, vol d’information, violation du contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500 000 euros d’amende. « En théorie, les procédures sont cumulables, mais dans le cas de contentieux complexes comme celui-ci, le choix des voies judiciaires peut être subtil », précise-t-elle. De l’autre côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.5 an de prison, 500 000 euros d’amende
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par le New York Times, ne semble pas se soucier de cette épée de Damoclès : « Je suis arrivé à la conclusion que puisque le volume d’informations augmente constamment, il n’y aura jamais de respect de la vie privée. Les lois
doivent déterminer ce qui est légal, mais ne peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le bannir. »
Le RGPD protège l’Europe contre l’utilisation de Clearview
Si les sites sont déjà lourdement armés pour se protéger contre Clearview devant les tribunaux aux États-Unis, les utilisateurs disposent d’armes supplémentaires en Europe. « Puisque dans le cas de ces images, il s’agit de données personnelles, le règlement général européen sur la protection des données offre tout un arsenal supplémentaire. Or, si le traitement des données est fait en Europe ou concerne des personne situées sur le territoire européen, alors le RGPD s’applique », rappelle Sabine Marcellin. Voici probablement une des raisons pour lesquelles Clearview a des clients enInde, aux États-Unis et au Canada, mais pas en Europe.
En cas de non-respect du RGPD, les entreprises s’exposent à une amende du plus haut montant entre de 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial de l’entreprise. « On oublie souvent que le RGPD permet aussi des sanctions administratives qui peuvent aller jusqu’à l’interdiction de l’utilisation des données concernées », rajoute la juriste. De quoi anéantir pour de bon un logiciel comme celui de Clearview, en cas de condamnation.En France, la Cnil contrôle les usages de la reconnaissance faciale
Aujourd’hui, la reconnaissance faciale n’est pas encore inscrite dans les textes en France, mais
la Cnil et ses homologues européennes veulent déjà encadrer son usage. Après le débat autour de l’application d’identification Alicem, l’autorité française a renouvelé, dans un guide sur le sujet, la nécessité d’obtenir sa validation pour lancer une expérimentation. Si les forces de l’ordre françaises veulent utiliser une technologie similaire à celle de Clearview, elles devront donc passer par la Cnil. « C’est sûrement la plus grande différence entre les systèmes européens et américains », estime l’avocate.
Porte ouverte aux abus
En mettant son application sur le marché, Clearview AI a franchit une barrière jusque-là respectée. Facebook, Amazon ou Google, avec leurs compétences et leurs grands volumes de données auraient pu créer un tel outil bien avant la startup. Mais même ces géants de la tech ont mis l’usage de la reconnaissance faciale à des fins sécuritaires de côté. Ils se sont contentés de créer des technologies voisines de reconnaissance d’image, qui permettent par exemple le tag automatique sur les publications, ou de classer les albums photos par personne. Clearview ouvre donc la boîte dePandore et laisse entrevoir un futur dystopique imaginé par la science-fiction.
Mais si l’application Smartcheckr est aussi problématique, c’est surtout parce qu’elle n’a pas été contrôlée par une autorité tierce indépendante. En conséquence, rien ne garantit son efficacité, ni sa sécurité. Pourtant, les technologies de reconnaissance faciale sont régulièrement épinglées pour
leurs biais discriminatoires. Par exemple, les risques de faux positifs pourraient être plus élevées
pour les personnes noires, déjà discriminés dans le système judiciaire actuel.
Ensuite, les autorités qui utilisent la technologie peuvent télécharger dans la base de données de Clearview des preuves essentielles à des enquêtes confidentielles … parfois sans en avoirClearview convainc les investisseurs
conscience. Pire, si des acteurs malveillants découvraient une fuite ou exploitaient une faille dans
les serveurs de Clearview, ils disposeraient de tout un éventail d’outil : harcèlement, chantage, traque, extraction de preuves… Sans contrôle extérieur, l’entreprise pourrait enfin tout à fait manipuler les résultats qu’elle présente à la police.
Jusqu’où ira-t-elle avant d’être épinglée par le système judiciaire ? Vu la décontraction dans les propos des dirigeants, ils ne semblent guère s’inquiéter. Pas d’inquiétude non plus du côté des investisseurs : la startup a levé 9 millions de dollars en juin 2019, un montant relativement conséquent pour un premier tour.
REF.:
