Inconnue du grand public il y a encore un mois, la startup Clearview doit désormais rendre des comptes sur son application de reconnaissance faciale. De quoi ralentir son business florissant auprès des forces de l'ordre.

Elle aurait sûrement préféré rester dans l’ombre. Depuis que le New York Times a détaillé les ressorts de sa technologie de reconnaissance faciale, Clearview AI doit rendre des comptes. Son application Smartcheckr permet de trouver le nom, l’adresse, et bien d’autres informations d’une personne à partir d’une seule photo. Pour parvenir à un résultat suffisant, Clearview a aspiré plus de 3 milliards de photos sur de nombreux sites : réseaux sociaux, médias d’actualité, portails d’entreprise… Le tout, sans se préoccuper des restrictions légales.

L’objectif affiché par la startup : identifier les criminels et leurs victimes. Mais les potentiels débordements, de la part des forces de l’ordre ou d’acteurs malveillants, sont trop importants. Alors qu’elle se vantait d’avoir convaincu plus de 600 organismes, elle se confronte désormais à une vague de procès et d’interdictions.

Une première plainte déposée

En début de semaine dernière, Twitter avait immédiatement réagi avec une lettre de mise en demeure. Les élus américains demandaient quant à eux à Clearview de leur montrer patte blanche.

Le 24 janvier, des habitants de l’Illinois ont quant à eux décidé d’amener l’affaire en justice, et ont déposé un recours collectif. Ils invoquent le Biometric Information Privacy Act, une loi spécifique à cet état du Midwest américain, qui permet de protéger ses résidents contre l’usage de leurs données biométriques sans consentement. Ils demandent à la justice l’arrêt de la vente de leurs données biométriques, la suppression de ces données des bases de Clearview, ainsi que des dommages et intérêts. « Les plaignants veulent s’assurer que leurs données biométriques soient protégées des hacks et ventes hors la loi », précise le dépôt de plainte, relayé par zdnet.

Ce type de protection, qui existe dans plusieurs états américains, est encore plus poussé en Europe, grâce au règlement général sur la protection des données. Ces textes rendent la technologie de Clearview tout simplement illégale. Avec son web-scrapping de masse, la startup ne demande jamais le consentement ni des propriétaires ni des hébergeurs des données, alors qu’elle manipule des données personnelles. Pire : elle pourrait se montrer techniquement incapable de supprimer des photos spécifiques de sa base, comme celles des résidents de l’Illinois par exemple.

Les autorités prennent conscience du problème

Dans le New Jersey, le procureur général, Gurbir S. Grewal, a interdit l’usage de Clearview par les forces de l’ordre sous son autorité. « Jusqu’à cette semaine, je n’avais jamais entendu parler de Clearview AI. L’article soulevait des questions au sujet de la protection des données, de la cybersécurité, et de l’intégrité de nos enquêtes », s’est-il défendu au New York Times.

Sa déclaration peut surprendre, car la startup utilisait l’image du dirigeant dans une de ses vidéos promotionnelles. Elle mettait en avant l’usage de son application dans l’arrestation médiatisée de 19 pédophiles.

Le procureur a confirmé que les policiers avaient utilisé Clearview pour identifier un des suspects de l’affaire. Mais son bureau a envoyé une lettre de mise en demeure à l’entreprise pour qu’elle arrête d’utiliser les enquêtes de la police du New Jersey pour promouvoir ses produits. Clearview s’est immédiatement exécutée. Il a rappelé que son bureau n’imposait pas pour l’instant sa préapprobation sur ce type de technologie, mais qu’il y réfléchissait. En France, la CNIL est déjà en alerte après les débats autour d’Alicem. Elle exige d’examiner toute expérimentation impliquant la reconnaissance faciale.

Des agents du NYPD utilisent Clearview alors que leur hiérarchie s’y oppose

Dans la même vidéo où apparaissait le procureur, Clearview mentionnait l’usage de son application par le New York Police Department (NYPD). Une affirmation fausse, d’après Buzzfeed. Le porte-parole interrogé par le site américain n’hésite pas à glisser un tacle à la startup : « Le NYPD a identifié le suspect en utilisant le logiciel de reconnaissance de sa division de reconnaissance faciale. Une image fixe d’une caméra de surveillance vidéo a été comparée à une base de photos d’arrestations, obtenues de façon légale. »

D’après le New York Post, l’unité dédiée à la reconnaissance faciale a essayé l’application, début 2019, grâce à un essai gratuit de 90 jours. Mais elle a décliné l’offre, trop inquiétée par les questions éthiques que l’application soulevait. Malgré ce refus à l’échelle de l’institution, certains agents du NYPD ont quand même utilisé le logiciel de reconnaissance faciale sur leurs smartphones personnels, jusqu’à aujourd’hui…

Clearview recense en effet 36 comptes actifs liés à la police new-yorkaise. Ces agents auraient utilisé l’application depuis plusieurs mois et lancé des milliers de recherches. « Il suffit qu’un policier mette une photo de son ex-compagne dedans pour voir qui elle fréquente désormais », s’inquiète un membre du NYPD.

Ce décalage entre la position de l’institution et l’accès à la technologie par ses employés est problématique. Pour s’inscrire à Clearview, il faut disposer d’une adresse email liée à une agence reconnue des forces de l’ordre. Mais cette garantie n’a plus de valeur si Clearview ne refuse pas l’accès à la technologie quand l’institution s’y oppose.

Clearview rétropédale sur un éventuel accès grand public

Alors qu’elle laissait entendre que son application pourrait être un jour accessible au grand public, l’entreprise s’est rétractée. Dans un communiqué, elle affirme que sa technologie est encadrée par « des instructions et des protections strictes pour s’assurer que les enquêteurs l’utilisent uniquement dans son but premier. » Et elle rappelle que Clearview « n’est pas un produit de consommation », mais qu’il est destiné uniquement à l’identification de criminels et de victime par les forces de l’ordre. Une fois que les pouvoirs judiciaires se seront saisis de la question, pas sûr qu’il lui reste de nombreux clients.

