C’est un coup porté à la reconnaissance faciale made in Clearview AI. Aux États-Unis, une association est parvenue à restreindre le terrain de jeu de cette entreprise spécialisée dans la biométrie débridée. Dans le cadre d’un accord, cette société très controversée n’a plus le droit d’accéder à certains marchés commerciaux.

Cela ne signe pas l’arrêt définitif de la reconnaissance faciale, mais c’est un coup très dur qui vient d’être porté contre l’une des entreprises les plus en pointe sur ce terrain. Aux États-Unis, la puissante Union américaine pour les libertés civiles (ACLU) est parvenue à obliger Clearview AI à ne plus vendre ses bases de données biométriques aux entreprises dans tout le pays.

La reconnaissance faciale est un procédé biométrique, comme l’analyse des empreintes digitales, de la voix ou de l’iris. Il s’agit ici de s’appuyer sur les traits et la forme du visage pour reconnaître un individu.

Dans le cadre de cet accord, conclu le 9 mai 2022 entre les deux parties et qui doit encore passer par un tribunal pour être pleinement valide, Clearview AI n’a plus la possibilité de traiter avec le secteur privé ni avec des particuliers. La compagnie garde toutefois le droit de travailler avec les autorités — seule exception : l’Illinois, qui bénéficie d’une suspension pour les cinq prochaines années.

Une société controversée dans la reconnaissance faciale

Clearview AI est une startup dont les activités ont été mises en lumière dans une enquête du New York Times. Le journal a montré que la société a capté plus de trois milliards de photographies sur le web dans le but de muscler ses algorithmes pour la reconnaissance faciale. Objectif : fournir ensuite une solution aux forces de l’ordre, mais pas seulement.

Cette compagnie, qui a reçu des financements de l’entrepreneur Peter Thiel, que l’on retrouve aussi dans l’historique de Facebook, Palantir ou PayPal, dispose d’une base de données contenant plus de dix milliards de visages aujourd’hui, qui ont été puisés sur le net. Elle serait même en bonne voie pour multiplier par dix ce nombre, pour atteindre 100 milliards d’ici 2023.

Depuis l’enquête du NYT, des actions en justice ont commencé à émerger de l’autre côté de l’Atlantique. Même Twitter s’en est mêlé, car il a été noté que Clearview AI a plongé dans les pages du réseau social (puisqu’il est par essence surtout public). Le sujet a aussi pris un tour plus politique, lorsque des membres du Congrès s’en sont emparés.

reconnaissance faciale
La reconnaissance faciale est un procédé biométrique qui se fonde sur l’analyse des traits du visage. // Source : EFF

Le fait est que toute cette mauvaise presse, ces risques de procès et de serrage de vis législatif n’ont pas encore été suffisants pour stopper les activités de Clearview — cela, alors que son image a été entachée par un vol de la liste de ses clients, sa proximité avec le milieu conservateur et ses projets parfois quelque peu orwelliens. Mais cela pourrait changer.

« La principale disposition de l’accord interdit à la société de vendre sa base de données d’empreintes faciales non seulement dans l’Illinois, mais aussi dans l’ensemble des États-Unis. Elle cessera également d’offrir des comptes d’essai gratuits aux agents de police, à l’insu de leur employeur et sans son accord », résume l’ACLU sur Twitter, le 9 mai.

Vers une loi fédérale pour restreindre les abus avec la reconnaissance faciale ?

Si le deal conclu entre Clearview AI et l’ACLU laisse encore une relative marge de manœuvre pour l’entreprise spécialisée dans la reconnaissance faciale, ce qui était sans doute inévitable pour espérer arracher un accord, il restreint notablement ses perspectives commerciales aux États-Unis. Surtout, il met indirectement en lumière le besoin d’une législation plus protectrice dans le pays.

Il a en effet été possible d’arracher un accord avec Clearview AI parce que la firme était sous menace d’un procès plus coûteux et risqué dans l’Illinois. Comme le note l’ACLU, cet État dispose d’une loi « novatrice qui garantit aux habitants que leurs identifiants biométriques — y compris leurs visages — ne seront pas capturés et utilisés à leur insu et sans leur autorisation. »

Clearview, évidemment, dit s’en tirer à bon compte. C’est même une « immense victoire » selon l’avocat de la société, cité par l’AFP. « Cela ne change rien à son modèle économique », d’après lui. Elle va « continuer à étendre son offre en accord avec la loi », et les frais engendrés par ce conflit avec l’ACLU sont toujours moindres que ce qu’aurait coûté un procès.

Les États-Unis, dans les pas de l’Europe sur la législation du numérique ?

Cette satisfaction pourrait n’être que de façade. À plus long terme, il n’y a pas que l’Illinois qui pourrait se doter d’une législation plus exigeante en matière d’usage et de protection des informations biométriques. Dans un tweet réagissant à l’action menée par l’ACLU, le sénateur démocrate Ron Wyden a salué ce premier pas et appelé à aller plus loin.

« Bon travail de la part de l’ Union américaine pour les libertés civiles . Maintenant, le Congrès doit terminer le travail et adopter ma loi sur le quatrième amendement pour empêcher les agences gouvernementales d’abuser de ce dangereux système de reconnaissance faciale et protéger les Américains une fois pour toutes », écrit-il le 9 mai sur Twitter.

Autre bénéfice espéré de cet accord, en attendant une hypothétique loi fédérale : il pourrait accentuer la pression sur toutes les autres entreprises similaires à Clearview AI, en les obligeant à tempérer davantage leurs ardeurs en matière de reconnaissance faciale, sous peine d’avoir à faire face à une action de l’ACLU ou d’une autre association de défense des droits civiques.

Photos photographie visages
Clearview a pour habitude de puiser librement des photos sur le net. // Source : Oregon State University

L’ACLU, en tout cas, considère que la pression d’un procès sur Clearview dans l’Illinois « démontre que des lois strictes sur la confidentialité peuvent offrir de réelles protections contre les abus ». La société a préféré céder dans cet État et reculer au niveau national, plutôt que d’aller au tribunal. « Il faut que d’autres États adoptent des lois similaires », conclut l’ACLU.

En la matière, l’Europe peut servir de modèle. Ces dernières années, de nombreux textes ont émergé sur le Vieux Continent pour organiser et parfois restreindre les activités et les pratiques d’entreprises dans le numérique. On l’a vu avec le RGPD, on le voit aujourd’hui avec le règlement ePrivacy, le DSA, le DMA, la proposition de Data Act ou en matière d’intelligence artificielle.

Clearview, d’ailleurs, est en train de le constater. En Italie, l’autorité de protection des données personnelles lui a infligé une amende de 20 millions d’euros pour avoir récupéré des données biométriques sur la population italienne. Et en France, la Cnil est aussi sur le coup. Fin 2021, l’autorité a mis en demeure Clearview de cesser de collecter les photos sur le net.