Le ministère ukrainien de la défense utilise depuis le samedi 12 mars 2022 la technologie de reconnaissance faciale mise au point par la société américaine Clearview AI, afin d’identifier les assaillants russes, les morts et lutter contre la désinformation.

Cette technologie de reconnaissance faciale est basée sur la collecte d’images accessibles publiquement sur I’Internet, c’est-à-dire pouvant être consultées sans connexion à un compte,  y compris des images extraites de vidéos disponibles en ligne.

Ainsi, la société « s’est appropriée plus de 10 milliards d’images à travers le monde », qu’elle commercialise sous la forme d’un moteur de recherche qui permet d’identifier une personne à l’aide d’une photographie. Clearview AI offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction.

 Or, depuis plusieurs mois, Clearview AI est dans l’œil du cyclone de plusieurs autorités européennes de protection des données¹.

En France, la CNIL a mis en demeure Clearview AI² de cesser ses pratiques en novembre 2021 après avoir constaté notamment deux manquements au RGPD : l’illicéité du traitement de données personnelles mis en œuvre (article 6 du RGPD) et l’absence de prise en compte satisfaisante et effective des droits des personnes concernées, dont plus particulièrement des demandes d’accès à ses données (articles 12, 15 et 17 du RGPD).

En Italie l’affaire a pris plus d’ampleur. En effet, la GPDP (Garante per la protezione dei dati personali) a considéré, que la société Clearview AI a transformé une photographie en donnée biométrique³, c’est-à-dire en donnée sensible (article 9 du RGPD), grâce à un traitement ultérieur basé sur la technologie propriétaire.

L’autorité italienne a retenu que Clearview AI a enfreint les principes de légalité, équité, transparence, et limitation⁴, de durée de conservation limitée⁵, de licéité du traitement⁶), et n’est pas conforme aux exigences du RGPD en termes de représentation légale sur le territoire de l’Union Européenne⁷).

Clearview AI s’est défendue, arguant que les informations qui peuvent être obtenues sur une personne utilisant son moteur de recherche sont moins significatives que celles qui peuvent être obtenues à partir d’une recherche Google basée sur le nom de cette personne, et que « personne ne prétend qu’une recherche dans un navigateur Google constitue une surveillance comportementale»⁸.

Mais ici le paradigme est différent, c’est une donnée biométrique qui permet d’identifier une personne. L’autorité italienne a donc sanctionné Clearview AI d’une amende de 20 millions d’euros sur les fondements précités⁹.

Une technologie non conforme au RGPD au service du bien ?

Malgré la tourmente dans laquelle se trouve Clearview AI, celle-ci a offert à l’Ukraine un accès gratuit à ses services. Son fondateur a déclaré que la société dispose de plus de 2 milliards d’images provenant du réseau social russe VKontakte¹⁰, sur une base de 10 milliards de photos au total.

Cette base d’images mise à disposition de l’Ukraine a pour vocation d’aider les autorités à identifier les morts, de faciliter le regroupement des réfugiés séparés de leur famille, d’identifier les agents russes, mais aussi de détecter les faux messages concernant la guerre sur les réseaux sociaux.

Ainsi, la base de données biométriques à grande échelle de Clearview soulève une fois de plus la question de l’usage de l’intelligence artificielle dans l’espace public et remet au cœur du débat les questionnements éthiques qui sont actuellement débattus au niveau de l’Union européenne dans le cadre du projet de règlement IA.

Pour en savoir plus :

1. Mise en demeure de Clearview AI par la CNIL, Reconnaissance faciale : la CNIL met en demeure CLEARVIEW AI de cesser la réutilisation de photographies accessibles sur internet, CNIL, 16 décembre 2021
2. Amende de Clearview AI par l’autorité de contrôle italienne, Garante per la protezione dei dati personali (Italy) – 9751362, GDPR hub, 10 février 2022
3. Amende de Clearview AI par l’autorité de contrôle italienne, Garante per la protezione dei dati personali (Italy) – 9751362, GDPR hub, 14 mars 2022
4. Article 5, paragraphe 1, points a) et b) du RGPD, Règlement Général à la Protection des Données, Parlement européen, 27 avril 2016
5. Article 5, paragraphe 1, points e) du RGPD, Règlement Général à la Protection des Données, Parlement européen, 27 avril 2016
6. Article 6 du RGPD, Règlement Général à la Protection des Données, Parlement européen, 27 avril 2016
7. Article 27 du RGPD, Règlement Général à la Protection des Données, Parlement européen, 27 avril 2016
8. GDPR hub, traduit de “no one is claiming that a Google browser search constitutes behavioral monitoring”, GDPR Hub14 mars 2022
9. Amende de Clearview AI par l’autorité de contrôle italienne, Garante per la protezione dei dati personali (Italy) – 9751362, GDPR hub, 10 mars 2022
10. Article réalisé par Paresh Dave et Jeffrey Dastin, Exclusive: Ukraine has started using Clearview AI’s facial recognition during war, Reuters, 14 mars 2022

Par Lexagone | News, Protection des données, Sécurité | Commentaires fermés