Des ONG déposent des plaintes contre Clearview AI dans cinq pays
9 min read
Des organisations de protection de la vie privée et de défense des droits de l’homme ont déposé des plaintes juridiques contre la société controversée de reconnaissance faciale Clearview AI auprès des régulateurs de la protection des données dans le cadre d’une action coordonnée dans cinq pays.
le plaintes appelons les régulateurs de la protection des données au Royaume-Uni, en France, en Autriche, en Italie et en Grèce à interdire les activités de l’entreprise en Europe, alléguant qu’elle enfreint les lois européennes sur la protection des données.
Clearview AI utilise la technologie de grattage pour récolter des photos de personnes sur les réseaux sociaux et les sites d’actualités sans leur consentement, selon des plaintes déposées auprès des régulateurs de la protection des données dans les cinq pays.
La société vend l’accès à ce qu’elle prétend être la «plus grande base de données connue de plus de 3 milliards d’images faciales» aux forces de l’ordre, qui peuvent utiliser ses algorithmes pour identifier les individus à partir de photographies.
Clearview affirme que sa technologie a «aidé les forces de l’ordre à traquer des centaines de criminels en liberté, y compris des pédophiles, des terroristes et des trafiquants sexuels».
La société affirme également que sa technologie a également été utilisée pour «identifier les victimes de crimes, y compris les abus sexuels sur des enfants et la fraude financière» et pour «disculper les innocents».
Selon le plaintes juridiques, Clearview traite les données personnelles en violation de la loi sur la protection des données et utilise des photographies publiées sur Internet d’une manière qui va au-delà de ce à quoi les internautes pourraient raisonnablement s’attendre.
«Les lois européennes sur la protection des données sont très claires en ce qui concerne les fins pour lesquelles les entreprises peuvent utiliser nos données», a déclaré Ioannis Kouvakas, juriste chez Privacy International, qui a déposé des plaintes au Royaume-Uni et en France.
«Extraire nos traits faciaux uniques ou même les partager avec la police et d’autres entreprises va bien au-delà de ce à quoi nous pourrions nous attendre en tant qu’utilisateurs en ligne», a-t-il déclaré.
Traçage à travers les métadonnées
Privacy International affirme que demandes d’accès à la personne concernée (DSAR) par le personnel ont montré que Clearview AI collecte des photographies de personnes au Royaume-Uni et dans l’Union européenne (UE).
Clearview recueille également des métadonnées contenues dans les images, telles que l’emplacement où les photographies ont été prises, et des liens vers la source de la photographie et d’autres données, selon les recherches du groupe de campagne.
Lucie Audibert, juriste chez Privacy International a déclaré que la technologie pourrait rapidement permettre à un client de Clearview de créer une photographie détaillée d’une personne à partir de sa photographie.
«Le plus inquiétant est qu’un simple clic sur un bouton permet à un client Clearview de réconcilier immédiatement toutes les informations vous concernant sur le Web, ce qui sans Clearview nécessiterait d’énormes efforts», a-t-elle déclaré.
“L’application de la reconnaissance faciale sur le Web signifie que vous pouvez soudainement unir les informations d’une manière complètement nouvelle, ce que vous ne pouviez pas faire auparavant lorsque vous vous reposiez sur les moteurs de recherche publics”, a-t-elle déclaré.
Aucune base légale
Les plaintes allèguent que Clearview n’a aucune base légale pour collecter et traiter les données qu’elle collecte en vertu de la législation européenne sur la protection des données.
Le fait que des images aient été publiées publiquement sur le Web n’équivaut pas au consentement des personnes concernées pour que leurs images soient traitées par Clearview, affirment les groupes.
De nombreuses personnes ne savent pas que leurs images ont été publiées en ligne par des amis sur les réseaux sociaux ou par des entreprises faisant la promotion de leurs services.
Audibert a déclaré que de nombreuses entreprises d’accueil ont publié des photos de clients sur les réseaux sociaux pour montrer qu’ils sont à nouveau ouverts alors que les restrictions de Covid sont levées, par exemple.
«Les pubs et les restaurants ont affiché beaucoup de photos de l’ouverture de leurs nouvelles terrasses et il y a des gens partout sur ces photos. Les gens ne savent pas qu’ils ont été photographiés par un restaurant, annonçant sur les réseaux sociaux qu’ils rouvrent », a-t-elle déclaré.
En identifiant des images en ligne à l’aide de la reconnaissance faciale, il est possible de construire une image détaillée de la vie d’une personne.
Les photographies peuvent être utilisées, par exemple, pour identifier la religion d’une personne, ses convictions politiques, ses préférences sexuelles, avec qui elle s’associe ou où elle a été.
«Il existe un potentiel pour le suivi et la surveillance des personnes d’une manière nouvelle», a déclaré Audibert.
Cela pourrait avoir de graves conséquences pour les individus dans des régimes autoritaires qui pourraient dénoncer leur gouvernement.
Clearview, qui a été fondée en 2017, a attiré l’attention du public pour la première fois en janvier 2020, lorsque Le New York Times révélé qu’elle offrait des services de reconnaissance faciale à plus de 600 services de détection et de répression et à au moins une poignée d’entreprises à des «fins de sécurité».
Parmi les utilisateurs de la société, dont elle prétend avoir 2900, figurent également les services de sécurité des collèges, les procureurs généraux et les entreprises privées, y compris les organisations d’événements, les opérateurs de casino, les entreprises de fitness et les sociétés de crypto-monnaie Buzzfeed rapporté par la suite.
Images stockées indéfiniment
Une recherche menée par Privacy International suggère que Clearview AI utilise un logiciel automatisé pour rechercher des pages Web publiques et collecter des images contenant des visages humains, ainsi que des métadonnées telles que le titre de l’image, la page Web, son lien source et la géolocalisation.
Les images sont stockées sur les serveurs de Clearview indéfiniment, même après qu’une photographie précédemment collectée ou la page Web qui l’héberge a été rendue privée, indique le groupe dans sa plainte.
La société utilise des réseaux de neurones pour scanner chaque image afin d’identifier de manière unique les traits du visage, appelés «vecteurs», constitués de 521 points de données. Ceux-ci sont utilisés pour convertir les photographies de visages en identifiants biométriques lisibles par machine qui sont uniques à chaque visage.
Il stocke les vecteurs dans une base de données où ils sont associés à des images photographiques et à d’autres informations grattées. Les vecteurs sont hachés, en utilisant une fonction mathématique pour indexer la base de données et lui permettre d’être recherchée.
Les clients de Clearview peuvent télécharger des images d’individus qu’ils souhaitent identifier et recevoir toutes les images correspondantes de fermeture, ainsi que des métadonnées qui permettent à l’utilisateur de voir d’où provient l’image.
Plaintes juridiques
La société a été confrontée à de nombreux défis juridiques concernant ses pratiques de confidentialité. L’Union américaine des libertés civiles a déposé une plainte légale en mai 2020 dans l’Illinois, en vertu du Biometric Information Privacy Act (BIPA) de l’État, et des militants des libertés civiles ont déposé un action en Californie en février 2021, affirmant que les pratiques de Clearview enfreignaient les interdictions locales de la technologie de reconnaissance faciale.
Le Commissariat à la protection de la vie privée du Canada (OPCC) publié un rapport en février 2020, recommandant à Clearview de cesser d’offrir ses services au Canada et de supprimer les images et les données biométriques recueillies auprès des Canadiens.
En Europe, l’autorité de protection des données de Hambourg a donné remarquer qu’il faudrait que Clearview supprime les valeurs de hachage associées aux images faciales d’un citoyen allemand qui s’est plaint.
L’Autorité suédoise pour la protection de la vie privée a constaté en février 2021 que le La police suédoise a utilisé illégalement les services de Clearview en violation de la loi suédoise sur les données criminelles.
Le Bureau du commissaire à l’information (ICO) du Royaume-Uni a ouvert un enquête conjointe avec l’autorité australienne de protection des données dans Clearview l’année dernière, en se concentrant sur son utilisation présumée de données grattées et de données biométriques d’individus.
Action coordonnée
Privacy International presse l’ICO de travailler avec d’autres régulateurs de la protection des données pour déclarer que les pratiques de collecte et de traitement de Clearview sont illégales au Royaume-Uni et en Europe. Il demande également à l’ICO de constater que l’utilisation de Clearview AI par les forces de l’ordre au Royaume-Uni enfreindrait la loi de 2018 sur la protection des données.
La plainte exhorte l’ICO à travailler avec d’autres régulateurs de la protection des données pour enquêter sur la conformité de l’entreprise aux lois sur la protection des données. «Nous voulons obtenir une déclaration selon laquelle ces pratiques sont illégales. La chose la plus importante pour nous d’arrêter est ce grattage et le traitement de masse des données biométriques », a déclaré Audibert.
Alan Dahi, avocat spécialisé en protection des données chez Noyb, a déclaré que le fait que quelque chose soit en ligne ne signifie pas qu’il est juste d’être approprié par d’autres de la manière qu’ils veulent – ni moralement ni légalement. «Autorités de protection des données [DPAs] doivent prendre des mesures et empêcher Clearview et des organisations similaires de récupérer les données personnelles des résidents de l’UE », a-t-il déclaré.
Fabio Pietrosanti, président de l’organisation italienne de défense des droits civiques Centre Hermes pour la transparence et les droits de l’homme numériques, qui a déposé l’une des plaintes, a déclaré que les technologies de reconnaissance faciale menaçaient la vie privée des gens. «En collectant subrepticement nos données biométriques, ces technologies introduisent une surveillance constante de nos corps», a-t-il déclaré.
Marina Zacharopoulou, avocate et membre de l’organisation de défense des droits numériques Homo Digitalis, qui a également déposé une plainte, a déclaré qu’il était nécessaire de surveiller davantage les technologies de reconnaissance faciale, telles que Clearview. «Les DPA ont de puissants pouvoirs d’enquête et nous avons besoin d’une réaction coordonnée à de tels partenariats public-privé», a-t-elle déclaré.
Dans le cadre d’une action coordonnée, Privacy International a déposé des plaintes auprès de l’ICO britannique et du régulateur français de la protection des données CNIL; les Centre Hermes pour la transparence et les droits de l’homme numériques a déposé une plainte auprès de l’autorité italienne de protection des données, Garante; Homo Digitalis a déposé une plainte auprès de la Grèce Autorité hellénique de protection des données; et Noyb, fondée par l’avocat Max Schrems, a déposé une plainte auprès de ORD, l’autorité autrichienne de protection des données.
