La Cour des comptes américaine enquête sur l'utilisation de la reconnaissance faciale par les autorités
Sept autorités américaines chargées de l’application des lois ont utilisé des services de reconnaissance faciale de fournisseurs externes entre octobre 2019 et mars 2022. C’est ce qui ressort d’un rapport récemment publié par la Cour des comptes américaine. Seules deux autorités auraient entre-temps mis en place des formations spéciales pour leurs collaborateurs. Les défenseurs des droits civils appellent une interdiction de leurs voeux.
Dans son rapport (en anglais) la Cour des comptes américaine a examiné l’utilisation de logiciels de reconnaissance faciale à des fins répressives par sept agences américaines au total qui dépendent du ministère de la Justice et du ministère de la Sécurité intérieure : il s’agit par exemple de la police fédérale américaine (FBI), de la police des stupéfiants (DEA) et de l’agence de protection des frontières (CBP).
L’enquête, menée à la demande de membres du Congrès, portait exclusivement sur l’utilisation de systèmes fournis par des prestataires externes — et non sur les programmes de reconnaissance faciale propres aux autorités. Trois des autorités interrogées, dont la DEA, ont apparemment renoncé à l’utilisation de produits de prestataires externes depuis avril 2023.
Six autorités ont utilisé Clearview
Selon le rapport de la Cour des comptes américaine, quatre systèmes différents ont été utilisés au total pendant la période d’enquête, d’octobre 2019 à mars 2022. En tête, le logiciel controversé Clearview AI, utilisé par six des sept agences.
L’entreprise américaine Clearview collecte des photos de personnes sur Internet, entre autres sur les réseaux sociaux. Selon ses propres indications, sa base de données de reconnaissance faciale contient désormais plus de 30 milliards d’images. L’entreprise affirme que le logiciel n’est vendu qu’aux autorités en charge de l’application des lois.
Cependant, Clearview est de plus en plus sous pression au niveau international : par exemple, plusieurs autorités de surveillance européennes lui ont par exemple imposé des sanctions en matière de protection des données pour avoir traité des données biométriques sans base légale. Clearview AI a également connu des problèmes juridiques aux États-Unis, à la suite desquels l’entreprise a conclu un accord avec des défenseurs des droits civils. Une partie de cet accord prévoit que Clearview, dans l’État de l’Illinois, ne pourra pas coopérer avec les autorités — y compris les forces de l’ordre — pendant cinq ans.
Selon la Cour des comptes américaine, le FBI et l’agence de protection des frontières (CBP) ont également utilisé, au cours de la période étudiée, des logiciels spéciaux destinés à aider à l’identification des victimes de la traite des êtres humains.
L’étendue de l’utilisation n’est pas connue avec précision
Au cours de la période d’enquête, six autorités auraient effectué au moins 63.000 requêtes au total — en moyenne 69 par jour. Une bonne moitié de ces requêtes a été effectuée par des agents du FBI. Selon le rapport, les chiffres du FBI seraient toutefois encore plus élevés, car l’autorité n’a pas pu fournir de données sur l’utilisation des programmes Marinus Analytics et Thorn. L’agence de protection des frontières (CBP) n’a pas non plus compté les recherches effectuées et n’a pas pu dire combien de ses employés avaient accès à la reconnaissance faciale.
La Cour des comptes pointe également le fait que la plupart des fonctionnaires ne sont pas formés à l’utilisation de logiciels de reconnaissance faciale. Bien qu’il ne s’agisse pas d’une obligation légale, les représentants du gouvernement ont souligné l’importance de ces mesures, par exemple pour prévenir les abus potentiels, et les autorités estiment parfois qu’elles sont nécessaires. Néanmoins, la Cour des comptes a constaté que les sept autorités avaient déjà utilisé la technologie de reconnaissance sans avoir suivi de formation.
L’audit de la Cour des comptes avait ainsi révélé que 196 collaborateurs du FBI utilisaient Clearview AI — mais que seuls dix d’entre eux avaient suivi une formation. Le FBI ne l’a pas encore rendue obligatoire. La CPB, l’agence de protection des frontières, n’a même pas encore évalué en interne si le personnel bénéficierait d’une formation. Seuls les collaborateurs de l’« US Marshals Service » et des « Homeland Security Investigations » ont depuis l’obligation de participer à des formations.
La Cour des comptes fait également référence aux critiques des défenseurs des droits civils et humains, qui mettent notamment en garde contre les restrictions à l’encontre de la liberté d’expression. Les critiques craignent en outre que l’utilisation de la reconnaissance faciale n’entraîne des poursuites pénales contre des personnes innocentes – aux États-Unis, plusieurs de ces cas ont déjà été révélés (en allemand). Selon le rapport, quatre des sept autorités n’ont pas encore de directives sur la protection des droits des citoyens lors de l’utilisation de la reconnaissance faciale. Le ministère de la Justice a certes déjà été chargé en 2022 par une commission du Congrès d’élaborer des principes éthiques pour l’utilisation de la reconnaissance faciale. Mais le projet n’est pas encore finalisé.
La Cour des comptes américaine a également constaté que les autorités téléchargent des photos sur les serveurs des fournisseurs de logiciels de reconnaissance faciale sans respecter pleinement les règles de protection des données applicables aux autorités. Par exemple, deux agences n’ont pas réalisé d’analyse d’impact sur la vie privée pour les services qu’elles utilisent, ou ne l’ont fait qu’après plusieurs années d’utilisation.
Les défenseurs des droits civils demandent une interdiction
Dans son rapport, la Cour des comptes fait également des recommandations au ministère de la Justice et au ministère de la Sécurité intérieure, ainsi qu’aux autorités : par exemple, le directeur du FBI devrait rendre obligatoire la formation à la reconnaissance faciale et l’agence de protection des frontières CBP devrait déterminer dans quelle mesure ses agents utilisent les services de reconnaissance faciale. En outre, la Cour recommande que le bureau du procureur général établisse un calendrier pour la publication de directives sur la protection des droits des citoyens lors de l’utilisation de cette technologie.
Les organisations de défense des droits civils critiquent cependant l’utilisation de cette technique dans l’absolu. L’organisation new-yorkaise « Surveillance Technology Oversight Project » demande par exemple une interdiction (en anglais) de l’utilisation de la reconnaissance faciale par les autorités chargées de l’application des lois.
La Electronic Frontier Foundation (EFF) a expliqué (en anglais) que les visages sont uniques et ne peuvent pas être facilement modifiés—les personnes peuvent donc être identifiées à vie à l’aide de la reconnaissance faciale. La technologie permet de surveiller des lieux de manière massive et discrète. Il est également possible, par exemple, de faire voler des drones au-dessus de manifestations et d’identifier les participants. D’après l’organisation, il s’agit d’une technologie pleine d’erreurs et dangereuse que le gouvernement devrait cesser d’utiliser.
L’enquête précédente
La Cour des comptes américaine avait déjà annoncé en 2021 un rapport sur l’utilisation de la technologie de reconnaissance faciale par les agences fédérales américaines (en allemand). A l’époque, près d’une administration sur deux parmi les 42 interrogées avait déclaré utiliser cette technique. Pour un total de 14 agences gouvernementales, la reconnaissance faciale était également utilisée à des fins répressives.
L’enquête de l’époque avait également montré que certaines autorités n’avaient pas une vue d’ensemble des bases de données utilisées par leurs collaborateurs. Par exemple, une autorité non nommée avait d’abord indiqué aux enquêteurs qu’elle n’utilisait pas de techniques non gouvernementales. Ce n’est que lors d’une enquête interne qu’il s’est avéré que les fonctionnaires avaient déjà effectué plus de 1000 recherches avec le logiciel d’un fournisseur privé.
La Cour des comptes avait pointé le fait qu’en l’absence d’informations complètes, les autorités ne peuvent pas examiner les risques que présentent les produits utilisés, notamment pour la vie privée des citoyens. Il est également impossible de déterminer à quel point la reconnaissance est précise. (js)