J’ai demandé à Clearview, l’entreprise de reconnaissance faciale qui aspire les photos aux quatre coins du web, de me dire s’ils stockaient certaines de mes photos. Ils m’ont répondu qu’ils n’en possédaient aucune. S’ils récupéraient des données de résidents européens, ils s’exposeraient aux lourdes sanctions du RGPD.

Ce vendredi 3 avril 2020, à 2h02 du matin, j’ai reçu un email que j’attendais avec impatience depuis un mois. Et malheureusement, j’ai été très déçu à la lecture des premières lignes : « Bonjour, merci pour votre demande d’accès aux données. Nous avons utilisé l’image que vous avez partagée avec nous pour lancer une recherche Clearview, et nous n’avons obtenu aucun résultat. »

La startup de reconnaissance faciale Clearview AI revendique une base de 3 milliards d’images, mais n’aurait aucune photo de moi ? Elle aspire les photos publiques postées sur Facebook, Twitter, et aux quatre coins du web, mais ne m’aurait pas trouvé ? Pourtant, rien qu’en tapant mon nom sur Google Images, quatre photos s’affichent.

Image d'erreur

Le logiciel de reconnaissance faciale ne m’a pas reconnu. // Source : Black Mirror, Saison 1, Episode 3, disponible sur Netflix.

Clearview enchaîne les scandales aux États-Unis

Tant mieux, pourrais-je me dire : l’entreprise prétend vendre son service de reconnaissance faciale uniquement aux forces de l’ordre, mais d’autres personnalités et entreprises y ont accès. Pire, Clearview encourage un usage abusif de sa technologie pour convaincre ses potentiels clients.

Vous l’aurez compris, Clearview a fait couler beaucoup d’encre aux États-Unis, après que le New York Times a mis l’entreprise sous les projecteurs, le 18 janvier 2020. La startup se confronte désormais à des procédures judiciaires enclenchées par Facebook, Twitter et des rassemblements de particuliers.

Des usages abusifs de la reconnaissance faciale

Le principal argument de vente de l’entreprise est son efficacité. Vous entrez une seule photo dans le logiciel, sans aucune autre information, et il vous donnera grâce à un algorithme de reconnaissance faciale plusieurs photos de la même personne. Clearview indique la provenance de ces photos (réseaux sociaux, sites d’entreprise, sites associatifs…), ce qui permet de remonter à toutes sortes d’informations.

Un agent des forces de l’ordre peut donc se servir du logiciel pour identifier un criminel à partir d’une photo de caméra de surveillance. Du moins, c’est l’unique finalité affichée par la startup. Mais en réalité, Clearview équipe aussi des supermarchés, est utilisé par la NBA (la ligue de basketball américaine),  ou encore permet à des millionnaires d’identifier le garçon ramené par leur fille en soirée…

Clearview AI est-il en Europe ?

Clearview aspire des milliards de photos et les stocke sur ses serveurs, sans qu’à aucun moment les personnes concernées y aient consenti, alors qu’il s’agit de données personnelles.

Pourtant, dans l’Union européenne, le règlement général sur la protection des données (RGPD), entré en vigueur en 2018, a mis le consentement de l’utilisateur au centre de la protection de la vie privée. Le RGPD est donc, en théorie, l’arme ultime contre Clearview. Et le texte s’applique à tous les résidents de l’UE, même si le traitement des données personnelles se fait aux États-Unis.

Dans ses sorties médiatiques, Clearview n’a jamais mentionné de client européen, et si la question a été abordée par les autorités, l’entreprise n’a jamais communiqué sur le sujet.

Clearview parvient à ne pas toucher aux données des Européens ?

Pour rappel, le logiciel aspire les photos — uniquement les photos — en masse et de façon automatique. Comment fait-il alors pour distinguer les résidents européens des autres personnes ? Numerama a posé la question à l’entreprise, qui n’a pour l’instant pas répondu.

Début mars, Buzzfeed a mis la main sur la liste des clients de Clearview AI. Si le site américain n’a pas divulgué les noms, il affirme que la startup de reconnaissance faciale a des clients un peu partout en Europe, et notamment en France.

Pour vérifier si Clearview collecte les données des Européens, j’ai essayé d’obtenir les données d’un résident français : moi. Pour y parvenir, j’ai adapté l’email envoyé par la journaliste de Vice Anna Merlan, en vertu CCPA (California Consumer Privacy Act), l’équivalent californien du RGPD. Un résident de l’état peut demander de voir quelles photos ont été collectées, d’exiger que l’entreprise les supprime de sa base et qu’elle n’en collecte plus à l’avenir. Grâce à ce processus, la journaliste de Vice a reçu un document PDF avec 10 photos d’elle.

Clearview s’évite-t-elle une amende de 20 millions d’euros ?

Lorsque j’ai écrit ma demande, le lundi 2 mars, le site de Clearview ne mentionnait pas le RGPD. Aujourd’hui, il met à disposition un formulaire sur son site.  J’ai envoyé l’email suivant : « Bonjour, en tant que résident européen, je fais la demande suivante en vertu du droit de l’Union européenne, le RGPD. Veuillez fournir toutes les données personnelles à mon sujet que vous avez obtenues, la méthode par laquelle vous les avez obtenues et comment elles ont été utilisées. » En pièce jointe, j’ai donné mon plus beau selfie — pris au bureau — puisque le logiciel ne peut lancer une recherche qu’à partir d’une image. J’ai également fourni une copie de mon passeport : Clearview demande un document d’identité pour protéger ses utilisateurs contre des demandes malveillantes.

pilecds.jpg

Je suis visiblement très content de donner ma photo à un site qui fournit son service aux forces de l’ordre. // Source : François Manens pour Numerama

Sans réponse, j’ai relancé l’entreprise le vendredi, et un employé m’a répondu que ma demande était prise en compte. « Le processus de suppression va prendre du temps. Veuillez nous accorder 30 jours pour l’effectuer », ont-ils ajouté. Je n’avais demandé qu’à voir mes photos, et non à les supprimer, mais soit. En acceptant ma demande, Clearview reconnaît en quelques sortes l’autorité du RGPD sur sa base de données.

Après cet échange, je n’ai plus eu de réponse pendant 30 jours. J’ai alors à nouveau relancé l’entreprise. Une poignée d’heure après, j’obtenais ma réponse : l’entreprise n’a pas de données sur moi. L’email précise : « partager une autre photo de vous pourrait produire d’autres résultats. »

Clearview n’aurait donc aspiré aucune de mes photos ?

Un mois d’attente, un mois de « traitement » pour finalement apprendre qu’ils n’ont aucune de mes photos dans leurs bases. Pourtant, j’ai des photos en accès public sur le site de mon précédent employeur, sur celui de Numerama, ou encore sur Twitter.

Côté américain, la journaliste de Vice et celui de One Zero ont récupéré respectivement 11 et 10 photos. Certaines proviennent de journaux universitaires, de photos postées par des amis ou encore de blogs personnels. D’autres ne sont plus en accès public, mais ont été aspirées quand elles l’étaient encore. Anna Merlan explique que la plus ancienne photo qu’elle a récupérée date de 2004 alors qu’elle avait à peine 15 ans, tandis que la plus récente date de 2019. Mais Clearview n’a pas été capable de trouver une photo de moi.

Si l’entreprise traitait des données personnelles de résidents européens sans leur consentement, elle s’exposerait à une amende de 20 millions d’euros. Peut-être une piste à explorer ?

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !