Des ONG déposent des plaintes contre Clearview AI dans cinq pays

Suivi à travers les métadonnées

Privacy International affirme que demandes d’accès aux personnes données (DSER) par le personnel ont montré que Clearview AI recueille des photographies de personnes au Royaume-Uni et dans l’Union européenne (UE).

Clearview recueille également les métadonnées contenues dans les images, telles que l’emplacement où les photographies ont été prises, et des liens vers la source de la photographie et d’autres données, selon les recherches du groupe de campagne.

Lucie Audibert, responsable juridique chez Privacy International, a déclaré que la technologie pourrait rapidement permettre à un client de Clearview de construire une photographie détaillée d’une personne à partir de sa photo.

« Le plus inquiétant est qu’en cliquant sur un bouton, un client Clearview peut immédiatement rapprocher chaque information vous concernant sur le Web, ce qui, sans Clearview, prendrait d’énormes efforts », a-t-elle déclaré.

« L’application de la reconnaissance faciale sur le Web signifie que vous pouvez soudainement unir les informations d’une manière complètement nouvelle, ce que vous ne pouviez pas faire auparavant lorsque vous comptiez sur les moteurs de recherche publics », a-t-elle déclaré.

Pas de base juridique

Les plaintes allèguent que Clearview n’a pas de base juridique pour collecter et traiter les données qu’elle collecte en vertu de la loi européenne sur la protection des données.

Le fait que des images aient été publiées publiquement sur le Web n’équivaut pas à un consentement des personnes concernées à ce que leurs images soient traitées par Clearview, font valoir les groupes.

De nombreuses personnes ne s’informeront pas que leurs images ont été publiées en ligne par des amis sur les médias sociaux ou par des entreprises faisant la promotion de leurs services.

Audibert a déclaré que de nombreuses entreprises hôtelières ont publié des photos de clients sur les médias sociaux pour montrer qu’ils sont à nouveau ouverts alors que les restrictions Covid sont levées, par exemple.

« Les pubs et les restaurants ont posté beaucoup de photos de leurs nouvelles terrasses qui ouvrent et il y a des gens partout sur ces photos. Les gens ne savent pas qu’ils ont été photographiés par un restaurant, annonçant sur les réseaux sociaux qu’ils rouvrent », a-t-elle déclaré.

En identifiant les images en ligne à l’aide de la reconnaissance faciale, il est possible de construire une image détaillée de la vie d’une personne.

Les photographies pourraient être utilisées, par exemple, pour identifier la religion d’une personne, ses convictions politiques, ses préférences sexuelles, avec qui elle s’associe ou où elle a été.

« Il est possible de suivre et de surveiller les gens d’une manière nouvelle », a déclaré Audibert.

Cela pourrait avoir de graves conséquences pour les personnes dans les régimes autoritaires qui pourraient s’exprimer contre leur gouvernement.

Clearview, qui a été fondée en 2017, a attiré l’attention du public pour la première fois en janvier 2020, lorsque Le New York Times a révélé qu’il avait offert des services de reconnaissance faciale à plus de 600 organismes d’application de la loi et au moins une poignée d’entreprises à des fins de « sécurité ».

Parmi les utilisateurs de la société, dont elle prétend avoir 2,900, figurent également les départements de sécurité des collèges, le procureur général et les entreprises privées, y compris les organisations d’événements, les opérateurs de casinos, les sociétés de fitness et les sociétés de crypto-monnaie, Buzzfeed a ensuite rapporté.

Images stockées indéfiniment

Les recherches menées par Privacy International suggèrent que Clearview AI utilise un logiciel automatisé pour rechercher des pages Web publiques et collecter des images contenant des visages humains, ainsi que des métadonnées telles que le titre de l’image, la page Web, son lien source et la géolocalisation.

Les images sont stockées indéfiniment sur les serveurs de Clearview, même après qu’une photo précédemment recueillie ou la page Web qui l’héberge a été rendue privée, indique le groupe dans sa plainte.

La société utilise des réseaux neuronaux pour scanner chaque image afin d’identifier de manière unique les traits du visage, connus sous le nom de « vecteurs », composés de 521 points de données. Ceux-ci sont utilisés pour convertir des photographies de visages en identifiants biométriques lisibles par machine qui sont uniques à chaque visage.

Il stocke les vecteurs dans une base de données où ils sont associés à des images photographiques et à d’autres informations raclées. Les vecteurs sont hachés, à l’aide d’une fonction mathématique pour indexer la base de données et lui permettre d’être recherchée.

Les clients de Clearview peuvent télécharger des images de personnes qu’ils souhaitent identifier et recevoir toutes les images correspondantes de fermeture, ainsi que des métadonnées qui permettent à l’utilisateur de voir d’où vient l’image.

Plaintes légales

L’entreprise a fait face à de nombreux défis juridiques à ses pratiques en matière de protection de la vie privée. L’American Civil Liberties Union a déposé une plainte en mai 2020 dans l’Illinois, en vertu de la Biometric Information Privacy Act (BIPA) de l’État, et des militants des libertés civiles ont intenté une action en Californie en février 2021, affirmant que les pratiques de Clearview enfreignent les interdictions locales sur la technologie de reconnaissance faciale.

Le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un rapport en février 2020 recommandant que Clearview cesse d’offrir son service au Canada et supprime les images et les données biométriques recueillies auprès des Canadiens.

En Europe, l’autorité de protection des données de Hambourg a fait savoir qu’elle exigerait de Clearview qu’elle supprime les valeurs de hachage associées aux images faciales d’un citoyen allemand qui s’est plaint.

L’Autorité suédoise pour la protection de la vie privée a conclu en février 2021 que l’Autorité suédoise de police avait illégalement utilisé les services de Clearview en violation de la loi suédoise sur les données criminelles.

Le Bureau du commissaire à l’information (ICO) du Royaume-Uni a ouvert une enquête conjointe avec l’autorité australienne de protection des données sur Clearview l’année dernière, en se concentrant sur son utilisation présumée de données raclées et de données biométriques d’individus.

Action coordonnée

Privacy International presse l’ICO de travailler avec d’autres régulateurs de la protection des données pour déclarer que les pratiques de collecte et de traitement de Clearview sont illégales au Royaume-Uni et en Europe. Il appelle également l’OIC à constater que l’utilisation de Clearview AI par les organismes d’application de la loi au Royaume-Uni violerait la loi sur la protection des données de 2018.

La plainte exhorte l’OIC à travailler avec d’autres organismes de réglementation de la protection des données pour enquêter sur la conformité de l’entreprise aux lois sur la protection des données. « Nous voulons obtenir une déclaration selon laquelle ces pratiques sont illégales. La chose la plus importante à arrêter pour nous est ce grattage et ce traitement massifs de données biométriques », a déclaré Audibert.

Alan Dahi, avocat spécialisé dans la protection des données chez Noyb, a déclaré que ce n’est pas parce que quelque chose est en ligne qu’il est équitable de s’approprier les autres comme ils le souhaitent – ni moralement ni légalement. « Autorités de protection des données [DPAs] il faut prendre des mesures et empêcher Clearview et des organisations similaires de s’occuper des données personnelles des résidents de l’UE », a-t-il déclaré.

Fabio Pietrosanti, président de l’organisation italienne de défense des droits civiques, le Centre Hermès pour la transparence et les droits de l’homme numériques, qui a soumis l’une des plaintes, a déclaré que les technologies de reconnaissance faciale menacent la vie privée des gens. « En collectant subrepticement nos données biométriques, ces technologies introduisent une surveillance constante de notre corps », a-t-il déclaré.

Marina Zacharopoulou, avocate et membre de l’organisation de défense des droits numériques Homo Digitalis, qui a également déposé une plainte, a déclaré qu’il était nécessaire d’examiner de plus près les technologies de reconnaissance faciale, telles que Clearview. « Les APD ont de forts pouvoirs d’enquête et nous avons besoin d’une réaction coordonnée à de tels partenariats public-privé », a-t-elle déclaré.

Dans le cadre d’une action coordonnée, Privacy International a déposé des plaintes auprès de l’ICO britannique et Français régulateur de la protection des données CNIL; l’Hermès Center for Transparency and Digital Human Rights a déposé une plainte auprès de l’autorité italienne de protection des données, Garante; Homo Digitalis a déposé une plainte auprès de l’Autorité hellénique de protection des données de Grèce; et Noyb, fondée par l’avocat Max Schrems, a déposé une plainte auprès de DSB, l’autorité autrichienne de protection des données.

mettre à jour:

Hoan Ton-That, PDG de Clearview AI, a déclaré dans un communiqué que « Clearview AI n’a jamais eu de contrats avec un client de l’UE et n’est actuellement pas disponible pour les clients de l’UE ».

« Nous avons volontairement traité les cinq demandes d’accès aux données en question, qui ne contiennent que des informations accessibles au public, tout comme des milliers d’autres que nous avons traitées. »

Il a déclaré que « Clearview AI a aidé des milliers d’organismes d’application de la loi à travers l’Amérique à sauver les enfants des prédateurs sexuels, à protéger les personnes âgées contre les criminels financiers et à assurer la sécurité des communautés ».

« Les gouvernements nationaux ont exprimé un besoin urgent pour notre technologie parce qu’ils savent qu’elle peut aider à enquêter sur des crimes comme le blanchiment d’argent et la traite des personnes, qui ne connaissent pas de frontières. »