Clearview limite la vente de ses outils de reconnaissance faciale aux USA

Clearview
En 2020, plusieurs organisations ont déposé une plainte contre Clearview, l’accusant d’avoir enfreint la loi Biometric Information Privacy Act de l’Illinois (source: IMAGO / Shotshop)

Clearview AI a accepté de ne pas vendre sa base de données de visages aux entreprises américaines. Dans l’État de l’Illinois, Clearview ne la proposera plus non plus aux autorités judiciaires. Cet accord a été passé entre l’entreprise dénoncée et l’association de défense des droits civiques American Civil Liberties Union (ACLU) qui mène une action en justice contre celle-ci. L’entreprise américaine collecte en effet des photos de personnes sur internet. On estime que sa base de données de visages regroupe désormais plusieurs milliards d’images.

L’accord annoncé lundi stipule que Clearview ne peut plus rendre accessible sa base de données de visages aux entreprises et autres institutions privées aux États-Unis. Cette décision concerne aussi bien les accès payants que gratuits.

Seules quelques exceptions lui ont été octroyées comme le prévoit la loi de l’Illinois sur la confidentialité des données biométriques (Biometric Information Privacy Act). Le New York Times précise que cela concerne les banques et autres instituts financiers. Dans l’Illinois en revanche, Clearview ne peut plus bénéficier de ces exceptions pendant les cinq prochaines années.

Accès provisoirement interdit aux pénalistes

Par ailleurs, il est interdit à Clearview de coopérer avec les autorités illinoisaises aux cours des cinq prochaines années – pas même avec les pénalistes. L’entreprise ne met plus non plus à la disposition des fonctionnaires de police des accès gratuits à l’essai sans l’accord préalable de leur supérieur. La Cour des comptes américaine avait constaté l’année dernière qu’en raison de ces offres d’essai, les autorités ne savaient plus exactement quelles bases de données de visages non gouvernementales étaient utilisées par leurs fonctionnaires.

Clearview doit, de plus, permettre aux citoyennes et citoyens de pouvoir supprimer leurs données dans les résultats de recherche. Ils peuvent, à cette fin, téléverser une photo via un formulaire en ligne – il est en revanche interdit à l’entreprise d’utiliser ces images pour d’autres usages. Clearview doit faire la promotion de ce mécanisme « Opt-Out » en publiant des annonces en ligne à hauteur de 50 000 dollars américains.

Des défenseurs des droits civiques avaient porté plainte

L’accord met fin à une affaire qui dure depuis deux ans : l’ACLU et d’autres organisations ont reproché à Clearview d’avoir enfreint le Biometric Information Privacy Act – et ont lancé ensemble en mai 2020 une action en justice contre l’entreprise dans l’Illinois. La loi y interdit, en effet, la collecte de données biométriques sans le consentement des personnes concernées.

Les données biométriques sont particulièrement sensibles car elles ne changent pas. Elles permettent d’identifier toute une vie les personnes concernées. Les organisations ont avancé l’argument que la reconnaissance faciale met en danger notamment les victimes de violence domestique ou sexuelle ainsi que les immigrés sans titre de séjour valable. Elles ont ajouté que le système est même « potentiellement mortel » puisqu’il peut être utilisé par des criminels pour persécuter leurs victimes. Les services de l’immigration pourraient également utiliser le logiciel pour retrouver des personnes.

Linda Xóchitl Tortolero de l’organisation Mujeres Latinas en Acción a qualifié cet accord de « grande victoire » pour les plus vulnérables.

Nathan Freed Wessler d’ACLU a fait le commentaire suivant : « En obligeant Clearview à respecter la loi avant-gardiste de l’Illinois sur la protection des données biométriques non seulement dans un État fédéré mais aussi à l’échelle de tout le pays, cet accord montre que des lois sévères sur la protection des données constituent une réelle protection contre les abus. » Clearview ne peut donc plus utiliser les données biométriques de manière illimitée comme « source de profit ». Il appelle également les autres États fédérés à protéger, eux aussi, sur le plan légal les données biométriques.

Suite à des investigations menées par le New York Times, Clearview avait heurté en 2020 l’opinion publique. En effet, Clearview collecte de manière automatisée des données librement accessibles dans les médiaux sociaux et sur les sites internet et a ainsi constitué une immense base de données de visages. Selon ses propres déclarations, celle-ci compte désormais plus de 10 milliards d’images.

L’avocat de l’entreprise a répondu à l’Agence de presse AP que l’accord ne nécessite aucun changement du modèle commercial. Car selon les dires de l’entreprise, elle ne vend son logiciel qu’aux autorités judiciaires. Pourtant, le New York Times avait révélé à l’époque que des entreprises privées l’utilisaient également. Le site d’information Buzzfeed News avait annoncé, lui aussi en 2020, que des entreprises telles que Walmart utilisaient aussi le logiciel.

Le Washington Post avait, de plus, publié en février un article sur une présentation de l’entreprise à l’intention d’investisseurs : il en ressortait que Clearview avait projeté de commercialiser de manière ciblée sa base de données à des entreprises de ladite Gig Economy. Il y était également indiqué que le nombre de portraits collectés allait passer à 100 milliards d’ici à l’année suivante. Et l’entreprise d’annoncer qu’il serait ainsi possible d’identifier « presque chaque individu sur la Terre ».

Clearview condamné à payer des amendes

L’entreprise est également dans le collimateur d’autres pays : en mars, l’Autorité italienne de protection des données personnelles a infligé à Clearview une amende de 20 millions d’euros pour avoir utilisé des données sans base légale. Déjà en novembre, l’Autorité britannique de protection des données personnelles avait ordonné une amende provisoire équivalant à

20 millions d’euros. Un verdict définitif est attendu en Grande-Bretagne d’ici mi-2022. Et en décembre en France, la Commission Nationale de l’Informatique et des Libertés a mis l’entreprise en demeure de supprimer toutes les données des personnes résidant en France.

En fin d’année dernière, l’Autorité canadienne de protection des données personnelles avait également ordonné que l’entreprise supprime toutes les données collectées sur les habitantes et habitants de trois provinces. Auparavant, l’Autorité australienne de protection des données avait constaté une atteinte à la vie privée de la part de Clearview – et ordonné la suppression des données. Il faut enfin ajouter que d’autres procédures judiciaires sont en instance aux USA. (js)