Le ministère ukrainien de la défense utilise depuis le samedi 12 mars 2022 la technologie de reconnaissance faciale mise au point par la société américaine Clearview AI, afin d’identifier les assaillants russes, les morts et lutter contre la désinformation.
Cette technologie de reconnaissance faciale est basée sur la collecte d’images accessibles publiquement sur I’Internet, c’est-à-dire pouvant être consultées sans connexion à un compte, y compris des images extraites de vidéos disponibles en ligne.
Ainsi, la société « s’est appropriée plus de 10 milliards d’images à travers le monde », qu’elle commercialise sous la forme d’un moteur de recherche qui permet d’identifier une personne à l’aide d’une photographie. Clearview AI offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction.
Or, depuis plusieurs mois, Clearview AI est dans l’œil du cyclone de plusieurs autorités européennes de protection des données1.
En France, la CNIL a mis en demeure Clearview AI2 de cesser ses pratiques en novembre 2021 après avoir constaté notamment deux manquements au RGPD : l’illicéité du traitement de données personnelles mis en œuvre (article 6 du RGPD) et l’absence de prise en compte satisfaisante et effective des droits des personnes concernées, dont plus particulièrement des demandes d’accès à ses données (articles 12, 15 et 17 du RGPD).
En Italie l’affaire a pris plus d’ampleur. En effet, la GPDP (Garante per la protezione dei dati personali) a considéré, que la société Clearview AI a transformé une photographie en donnée biométrique3, c’est-à-dire en donnée sensible (article 9 du RGPD), grâce à un traitement ultérieur basé sur la technologie propriétaire.
L’autorité italienne a retenu que Clearview AI a enfreint les principes de légalité, équité, transparence, et limitation4, de durée de conservation limitée5, de licéité du traitement6), et n’est pas conforme aux exigences du RGPD en termes de représentation légale sur le territoire de l’Union Européenne7).
Clearview AI s’est défendue, arguant que les informations qui peuvent être obtenues sur une personne utilisant son moteur de recherche sont moins significatives que celles qui peuvent être obtenues à partir d’une recherche Google basée sur le nom de cette personne, et que « personne ne prétend qu’une recherche dans un navigateur Google constitue une surveillance comportementale»8.
Mais ici le paradigme est différent, c’est une donnée biométrique qui permet d’identifier une personne. L’autorité italienne a donc sanctionné Clearview AI d’une amende de 20 millions d’euros sur les fondements précités9.
Une technologie non conforme au RGPD au service du bien ?
Malgré la tourmente dans laquelle se trouve Clearview AI, celle-ci a offert à l’Ukraine un accès gratuit à ses services. Son fondateur a déclaré que la société dispose de plus de 2 milliards d’images provenant du réseau social russe VKontakte10, sur une base de 10 milliards de photos au total.
Cette base d’images mise à disposition de l’Ukraine a pour vocation d’aider les autorités à identifier les morts, de faciliter le regroupement des réfugiés séparés de leur famille, d’identifier les agents russes, mais aussi de détecter les faux messages concernant la guerre sur les réseaux sociaux.
Ainsi, la base de données biométriques à grande échelle de Clearview soulève une fois de plus la question de l’usage de l’intelligence artificielle dans l’espace public et remet au cœur du débat les questionnements éthiques qui sont actuellement débattus au niveau de l’Union européenne dans le cadre du projet de règlement IA.
Pour en savoir plus :
Par DPM | News, Protection des données, Sécurité | Commentaires fermés