Dans un article publié le 25 août dernier, le site américain BuzzFeed dresse la liste de 88 organisations de maintien de l'ordre ayant eu recours à des degrés divers à la technologie controversée de reconnaissance faciale de Clearview AI. Ces organisations sont affiliées aux gouvernements de 24 pays hors Etats-Unis, dont la France. Les autorités françaises démentent l'usage de Clearview, alors que la CNIL et les institutions européennes sont en train d'étudier une possible violation du Règlement général sur la protection des données (RGPD) par ce logiciel.
Clearview AI est une start-up new-yorkaise qui se base sur plus de 3 milliards de photos extraites de sites web et de réseaux sociaux – notamment Facebook, Instagram, LinkedIn et Twitter – afin de permettre à ses utilisateurs de récolter en quelques secondes des données sur un individu en disposant simplement d'un cliché de son visage. Comme le rappelle Le Monde, Clearview AI a été à ses débuts financé par le multimilliardaire Peter Thiel, fondateur de Palantir – une entreprise spécialisée dans le Big data – et membre du conseil d’administration de Facebook.
Clearview AI a affirmé que son application était efficace à 100 % dans le cadre de documents fournis aux forces de l'ordre, mais BuzzFeed assure avoir vu le logiciel identifier des personnes de manière erronée.
14 000 recherches auraient été effectuées dans 24 pays
Les données analysées par BuzzFeed montrent, en date du mois de février 2020, que des services de police et des ministères de l'Intérieur, mais aussi des parquets et des universités du monde entier ont effectué près de 14 000 recherches avec le logiciel de Clearview AI, dans des pays tels que le Royaume-Uni, l'Australie, le Brésil, la Belgique ou encore... la France.
Depuis lors, certains de ces pays ont jugé illégale l'utilisation du logiciel de Clearview AI. Ainsi, à la suite d'une enquête, le Commissariat à la protection de la vie privée du Canada a statué en février 2021 que Clearview avait «violé les lois fédérales et provinciales sur la protection de la vie privée» en exerçant une «surveillance de masse», comme le rapporte Le Devoir. L'instance a recommandé à l'entreprise américaine de cesser d'offrir ses services à des clients canadiens, de cesser de recueillir des photos de Canadiens et de supprimer toutes les images et les données biométriques précédemment recueillies dans le pays. Des recommandations qui n'auraient pour l'heure pas été suivies par l'entreprise. Un rapport d'enquête publié le 10 juin par le Commissariat a également accusé la Gendarmerie royale du Canada (la police fédérale du pays) d'avoir violé la loi en utilisant la technologie de Clearview AI.
Les documents examinés par site américain montrent également que Clearview AI est présent dans certains pays du Moyen-Orient tels que l'Arabie saoudite ou les Emirats arabes unis. Sur PBS, le PDG de Clearview AI, Hoan Ton-That, a néanmoins insisté sur le fait que son entreprise ne vendrait jamais sa technologie à des pays jugés «très hostiles aux Etats-Unis», en citant la Chine, la Russie, l'Iran et la Corée du Nord.
Une utilisation «probablement non conforme» à la RGPD européenne
Dans l'Union européenne (UE), Clearview AI aurait commercialisé son système de reconnaissance faciale en proposant des essais gratuits lors de conférences destinées au forces de l'ordre, où il y aurait fréquemment été présenté comme un outil permettant de retrouver les prédateurs sexuels et leurs victimes, comme le précise BuzzFeed. Interrogé sur les plus de 300 recherches qui auraient été effectuées par Interpol – l'organisation internationale de police basée à Lyon – l'un de ses porte-parole a répondu en ces termes : «Un petit nombre d'agents ont utilisé un compte d'essai gratuit de 30 jours pour tester le logiciel Clearview. Il n'existe aucune relation officielle entre Interpol et Clearview, et ce logiciel n'est pas utilisé par Interpol dans son travail quotidien».
Les instances de l'UE sont de leur côté en train d'évaluer si l'utilisation de l'outil de Clearview AI viole le RGPD, un règlement de l'Union européenne appliqué depuis mai 2018 qui constitue le texte de référence en matière de protection des données à caractère personnel et qui exige que les entreprises les traitant obtiennent le consentement éclairé des utilisateurs concernés. En juin 2020, le Contrôleur européen de la protection des données – l'organisme indépendant qui supervise l'application de la RGPD – avait déjà publié des orientations selon lesquelles «l'utilisation d'un service tel que Clearview AI par les autorités chargées de l'application des lois dans l'Union européenne serait, en l'état, probablement non conforme au régime de protection des données de l'UE».
Dans sa réponse aux questions de BuzzFeed, Hoan Ton-That a déclaré que Clearview AI avait «volontairement traité» les demandes de citoyens de l'UE pour que leurs informations personnelles soient supprimées des bases de données de l'entreprise. Il a également précisé que Clearview AI n'avait pas de contrat avec des clients au sein l'UE, en refusant de préciser quand son logiciel avait cessé d'être disponible dans l'Union.
En France, plusieurs plaintes déposées auprès de la CNIL
En France, les données publiées par BuzzFeed indiquent qu'entre 200 et 1 000 recherches ont été effectuées sur le logiciel de Clearview AI par Interpol et le ministère de l'intérieur. Un porte-parole de ce dernier a cependant déclaré au média américain qu'il ne disposait d'aucune information sur Clearview AI, bien que des données indiquent que les employés de cette administration auraient effectué plus de 400 recherches sur le logiciel.
La Commission nationale de l'informatique et des libertés (CNIL) – le gendarme des données personnelles – a par ailleurs déclaré avoir reçu «plusieurs plaintes» concernant Clearview AI, qui sont «en cours d'examen». En juillet 2020, une plainte avait été déposée par la personne chargée des questions de vie privée de la start-up française Jumbo Privacy (qui propose des recommandations pour mieux contrôler l'usage de ses données personnelles) ; et le 27 mai dernier, un groupe d'ONG mené par Privacy International a saisi la CNIL mais aussi les autorités de protection des données de Grèce, d'Autriche, d'Italie et du Royaume-Uni, comme le rapportait l'AFP.
Egalement citée dans la liste des utilisateurs du logiciel de Clearview AI publiée par BuzzFeed, la police fédérale belge a réaffirmé ne pas avoir utilisé le logiciel de reconnaissance faciale, comme le rapporte quotidien belge francophone La Libre.