21-01-2020, 07:42
Le New York Times s'est intéressé au cas inquiétant de Clearview AI, une startup qui a créé un outil de reconnaissance faciale... à partir de millions d'images trouvées sur le web. L'application, sortie des pires scénarios de science-fiction, convainc les utilisateurs, mais s'affranchit de plusieurs barrières légales. Peut-elle s'installer dans les usages, alors qu'elle se confronte aux lois américaines et au règlement européen sur les données en Europe ?
La fin justifie-t-elle les moyens ? Pour plus de 600 autorités publiques, des petites polices locales jusqu’au FBI, la réponse est oui. Elles sont états-uniennes, canadiennes ou encore indiennes et utilisent l’application de reconnaissance faciale de Clearview AI, sur laquelle le New York Times a enquêté. Créée en 2016, cette entreprise a constitué une base de données de milliards d’images, en aspirant les données de Facebook, Twitter ou encore YouTube. Sans aucune considération pour la loi.
Grâce à une technologie développée en interne, elle relie ensuite les images similaires entre elles pour former des albums photos de personnes aléatoires. Chaque image est reliée à sa source (Facebook, par exemple). Un utilisateur de l’application peut donc retrouver l’identité d’une personne, voire son adresse, s’il dispose d’une seule photo qu’il a lui-même prise. Clearview dispose ainsi d’une sorte de Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public.
![[Image: Capture-d%E2%80%99e%CC%81cran-2020-01-20...24x520.png]](https://cyberguerre.numerama.com/content/uploads/sites/2/2020/01/Capture-d%E2%80%99e%CC%81cran-2020-01-20-a%CC%80-17.58.52-1024x520.png)
L’ASPIRATION ILLÉGALE DE DONNÉES AU CENTRE DE LA TECHNOLOGIE
L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping. Le principe est simple : un logiciel aspire de façon automatique le contenu des pages web. Dans le cas de Smartcheckr, toutes les images accessibles librement y passent. Profils et photos publics sur Facebook, Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre employeur sont autant de sources d’images pour l’application. Même si ces sites écrivent de façon explicite dans leurs conditions générales d’utilisation (CGU) qu’ils interdisent cette pratique. Résultat, alimenter constamment la base de donnée ne coûte presque rien à Clearview, puisqu’elle se sert librement. Ces économies lui permettent de proposer un prix d’abonnement annuel à son service compris entre 2 000 et 10 000 dollars par an, une bouchée de pain pour sa cible de clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique chez Aurore Légal.
La juriste énumère l’immense arsenal légal français et européen qui pourrait, sous condition d’apports de preuves, qualifier les pratiques de Clearview : concurrence déloyale et parasitisme, extraction non-autorisée, fraude informatique, vol d’information, violation du contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500 000 euros d’amende. « En théorie, les procédures sont cumulables, mais dans le cas de contentieux complexes comme celui-ci, le choix des voies judiciaires peut être subtil », précise-t-elle. De l’autre côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par le New York Times, ne semble pas se soucier de cette épée de Damoclès : « Je suis arrivé à la conclusion que puisque le volume d’informations augmente constamment, il n’y aura jamais de respect de la vie privée. Les lois doivent déterminer ce qui est légal, mais ne peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le bannir. »
Source: cyberguerre.numerama.com
La fin justifie-t-elle les moyens ? Pour plus de 600 autorités publiques, des petites polices locales jusqu’au FBI, la réponse est oui. Elles sont états-uniennes, canadiennes ou encore indiennes et utilisent l’application de reconnaissance faciale de Clearview AI, sur laquelle le New York Times a enquêté. Créée en 2016, cette entreprise a constitué une base de données de milliards d’images, en aspirant les données de Facebook, Twitter ou encore YouTube. Sans aucune considération pour la loi.
Grâce à une technologie développée en interne, elle relie ensuite les images similaires entre elles pour former des albums photos de personnes aléatoires. Chaque image est reliée à sa source (Facebook, par exemple). Un utilisateur de l’application peut donc retrouver l’identité d’une personne, voire son adresse, s’il dispose d’une seule photo qu’il a lui-même prise. Clearview dispose ainsi d’une sorte de Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public.
L’ASPIRATION ILLÉGALE DE DONNÉES AU CENTRE DE LA TECHNOLOGIE
L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping. Le principe est simple : un logiciel aspire de façon automatique le contenu des pages web. Dans le cas de Smartcheckr, toutes les images accessibles librement y passent. Profils et photos publics sur Facebook, Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre employeur sont autant de sources d’images pour l’application. Même si ces sites écrivent de façon explicite dans leurs conditions générales d’utilisation (CGU) qu’ils interdisent cette pratique. Résultat, alimenter constamment la base de donnée ne coûte presque rien à Clearview, puisqu’elle se sert librement. Ces économies lui permettent de proposer un prix d’abonnement annuel à son service compris entre 2 000 et 10 000 dollars par an, une bouchée de pain pour sa cible de clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique chez Aurore Légal.
La juriste énumère l’immense arsenal légal français et européen qui pourrait, sous condition d’apports de preuves, qualifier les pratiques de Clearview : concurrence déloyale et parasitisme, extraction non-autorisée, fraude informatique, vol d’information, violation du contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500 000 euros d’amende. « En théorie, les procédures sont cumulables, mais dans le cas de contentieux complexes comme celui-ci, le choix des voies judiciaires peut être subtil », précise-t-elle. De l’autre côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par le New York Times, ne semble pas se soucier de cette épée de Damoclès : « Je suis arrivé à la conclusion que puisque le volume d’informations augmente constamment, il n’y aura jamais de respect de la vie privée. Les lois doivent déterminer ce qui est légal, mais ne peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le bannir. »
Source: cyberguerre.numerama.com
![[-]](https://www.tisi-fr.com/board/images/collapse.png)