ICO avertit que la société de reconnaissance faciale Clearview AI pourrait faire face à une amende de 17 millions de livres sterling pour violation de la vie privée

La plus grande base de données connue

Clearview AI vend l’accès à ce qu’elle prétend être la « plus grande base de données connue » de plus de 10 milliards d’images faciales aux organismes d’application de la loi aux États-Unis.

La société utilise des algorithmes pour faire correspondre les photographies fournies par ses clients avec les données biométriques provenant de sites Web, de médias d’information en ligne, de médias sociaux et d’autres sites.

Il affirme avoir aidé les responsables de l’application de la loi à traquer des centaines de criminels, y compris des pédophiles, des terroristes et des trafiquants sexuels, et à identifier les victimes d’actes criminels.

Clearview AI a fourni des essais gratuits à un certain nombre d’organismes d’application de la loi britanniques, mais a maintenant retiré ses services d’Europe et du Royaume-Uni.

Le régulateur britannique de la protection des données a déclaré dans un avis provisoire aujourd’hui que Clearview AI est susceptible de détenir des données sur un « nombre substantiel » de personnes du Royaume-Uni, qui pourraient avoir été recueillies à leur insu.

Elizabeth Denham, la commissaire à l’information, a déclaré: « Je m’inquiète beaucoup du fait que les données personnelles ont été traitées d’une manière à laquelle personne au Royaume-Uni ne s’attendrait. »

Bien que Clearview AI n’offre plus de services au Royaume-Uni, Denham a déclaré que les preuves analysées par l’ICO suggèrent qu’elle pourrait « continuer à traiter des volumes importants d’informations sur les personnes britanniques à leur insu ».

L’ICO a déclaré que sa conclusion préliminaire est que Clearview AI n’a pas réussi à traiter les informations de manière équitable d’une manière à laquelle les gens s’attendraient raisonnablement.

L’ICO a également déclaré dans son avis préliminaire que Clearview n’avait pas de raison légale de collecter des informations sur les citoyens britanniques, ne respectait pas les normes plus élevées de protection des données requises pour les données biométriques et ne disposait pas d’un processus pour empêcher la conservation indéfinie des informations.

L’ICO allègue également que la société n’a pas informé les gens au Royaume-Uni de la façon dont elle utilisait leurs données. Clearview a également demandé des informations personnelles supplémentaires, y compris des photographies qui pourraient avoir dissuadé les personnes qui souhaitaient s’opposer au traitement de leurs données.

Hoan Ton-That, PDG de Clearview AI, s’est dit « profondément déçu » que le commissaire britannique à l’information ait mal interprété sa technologie et ses intentions.

« Mon entreprise et moi avons agi dans le meilleur intérêt du Royaume-Uni et de son peuple en aidant les forces de l’ordre à résoudre des crimes odieux contre des enfants, des personnes âgées et d’autres victimes d’actes sans scrupules », a-t-il déclaré.

Action de l’Australie contre Clearview

L’avis de l’ICO fait suite à une enquête conjointe avec le Bureau du commissaire australien à l’information (OAIC).

Dans une décision rendue en novembre, l’OAIC a conclu que Clearview AI avait violé la vie privée des Australiens.

Il a ordonné à la société de cesser de collecter des images faciales et des modèles biométriques auprès de personnes en Australie et de détruire les données existantes.

La commissaire australienne, Angelene Falk, a déclaré que la collecte d’informations sensibles par Clearview était déraisonnablement intrusive et injuste.

Elle a déclaré que les activités de l’entreprise comportaient un risque important de préjudice pour les individus, y compris les groupes vulnérables tels que les enfants et les victimes d’actes criminels, dont les images peuvent être recherchées dans la base de données de Clearview AI.

« Le grattage aveugle des images faciales des gens, dont seule une fraction serait liée à des enquêtes des forces de l’ordre, peut avoir un impact négatif sur les libertés personnelles de tous les Australiens qui se perçoivent comme étant sous surveillance », a-t-elle déclaré.

Une demande de brevet déposée par la société a montré que la technologie pouvait être utilisée à d’autres fins, y compris les rencontres, la vente au détail, unet accorder ou refuser l’accès aux installations ou aux appareils, a noté l’OAIC.

Clearview, qui a cessé d’offrir ses services aux forces de police australiennes après que l’OAIC a commencé son enquête, a fait valoir que les informations qu’elle a recueillies n’étaient pas des informations personnelles et que Clearview AI ne relevait pas de la loi australienne en tant que société américaine.

Plaintes européennes relatives à la protection de la vie

Privacy International et d’autres organisations de défense des droits de l’homme ont déposé des plaintes juridiques coordonnées contre Clearview en mai de cette année auprès des régulateurs de la protection des données au Royaume-Uni, en France, en Autriche, en Italie et en Grèce.

Ils ont allégué que Clearview traite des données personnelles en violation de la loi sur la protection des données et utilise des photographies publiées sur Internet d’une manière qui va au-delà de ce à quoi les utilisateurs s’attendraient raisonnablement.

Privacy International a déclaré que les demandes d’accès des personnes concernées par son personnel montraient que Clearview AI recueille des photographies de personnes au Royaume-Uni et dans l’Union européenne.

Clearview recueille également les métadonnées contenues dans les images, y compris l’emplacement où la photographie a été prise, les liens Web vers la photographie originale et d’autres données.

La société utilise des réseaux de neurones pour scanner chaque image afin d’identifier de manière unique les traits du visage qui sont stockés sous forme de « vecteurs » composés de 512 points de données.

Ceux-ci sont utilisés pour convertir des photographies de visages en identifiants biométriques lisibles par machine, qui sont hachés à l’aide d’une fonction mathématique pour permettre une recherche rapide dans la base de données.

Les clients de Clearview peuvent télécharger des images de personnes qu’ils souhaitent identifier et recevoir des images étroitement correspondantes ainsi que des métadonnées qui montrent d’où vient l’image.

Lucie Audibert, juriste chez Privacy International, a déclaré que la décision préliminaire du Royaume-Uni devrait être un signal d’alarme pour les investisseurs dans Clearview AI.

« Nous avons des lois contre ce genre d’ingérence dans nos droits fondamentaux, et les régulateurs commencent enfin à réparer ces torts », a-t-elle déclaré.

Ioannis Kouvakas, avocat général par intérim de PI, a déclaré : « L’annonce d’aujourd’hui n’est pas seulement une affirmation de nos droits en matière de protection des données en tant qu’utilisateurs d’Internet, mais aussi un message clair aux entreprises dont le modèle commercial toxique repose sur l’exploitation des moments que nous et nos proches publions en ligne ».

Clearview, qui a été fondée en 2017, a attiré l’attention du public pour la première fois en janvier 2020, lorsque Le New York Times a révélé qu’il avait offert des services de reconnaissance faciale à plus de 600 organismes d’application de la loi et à au moins une poignée d’entreprises à des « fins de sécurité ».

Buzzfeed a ensuite rapporté que les utilisateurs de la société comprenaient des services de sécurité universitaires, des procureurs généraux et des sociétés privées, y compris des organisations d’événements, des opérateurs de casino, des sociétés de fitness et des sociétés de crypto-monnaie.

La société a fait face à de nombreuses contestations juridiques de ses pratiques en matière de protection de la vie privée de la part de l’American Civil Liberties Union et d’autres organisations.

Le Commissé à la protection de la vie privée du Canada (OPCC) a publié un rapport en février 2020 recommandant que Clearview cesse d’offrir ses services au Canada et supprime les images et les données biométriques recueillies auprès des Canadiens.

L’Autorité suédoise pour la protection de la vie privée a conclu en février 2021 que l’Autorité de police suédoise avait illégalement utilisé les services de Clearview en violation de la loi suédoise sur les données criminelles.

Le patron de Clearview « le cœur brisé »

Hoan Ton-That, PDG de Clearview AI, a appelé à des discussions avec les législateurs sur son travail, arguant que la société avait été contrainte de refuser les demandes d’aide des organismes britanniques d’application de la loi enquêtant sur des crimes graves.

« Cela me brise le cœur que Clearview AI n’ait pas été en mesure d’aider à recevoir des demandes urgentes d’organismes d’application de la loi britanniques cherchant à utiliser cette technologie pour enquêter sur des cas d’abus sexuels graves d’enfants au Royaume-Uni. »

« Nous ne collectons que des données publiques à partir de l’Internet ouvert et nous nous conformons à toutes les normes de confidentialité et de loi », a-t-il déclaré.

« Je serais heureux d’avoir l’occasion d’engager une conversation avec les dirigeants et les législateurs afin que la véritable valeur de cette technologie qui s’est avérée si essentielle à l’application de la loi puisse continuer à rendre les communautés sûres », a-t-il déclaré.

L’avocat britannique de Clearview a déclaré: « Clearview AI fournit des informations accessibles au public sur Internet aux organismes d’application de la loi. Pour être clair, Clearview AI ne fait pas d’affaires au Royaume-Uni et n’a pas de clients au Royaume-Uni pour le moment.