En 2015, Nimesh Patel, un utilisateur de Facebook résidant dans l’Illinois, a porté plainte en recours collectif contre le numéro un des réseaux sociaux, alléguant que l’utilisation de la société de la technologie de reconnaissance faciale viole une loi de l'Illinois adoptée en 2008. La BIPA (Biometric Information Privacy Act) définit les limites quant à la façon dont les entreprises peuvent stocker et utiliser les identificateurs biométriques des personnes, que la loi définit comme étant des empreintes digitales, des empreintes vocales, des analyses de la rétine ou de l'iris et des scans de géométrie de la main ou du visage. L’ouverture du procès est prévue pour le mois d’octobre et des poursuites similaires sont en cours dans l’Illinois contre Google et Snapchat.Notons que, dans les circonscriptions qu’elle établit, la BIPA n’évoque pas les réseaux sociaux, mais s’intéresse plutôt à une utilisation potentielle d’identités biométriques dans les transactions financières tout en rappelant que ces identifiants sont plus radicaux qu’un mot de passe ou un code PIN : si un client voit son identité biométrique volée, de nouvelles empreintes ou un nouveau visage ne sauront pas lui être attribués. Dans le cas d'espèce, le recours collectif n’attaque pas les institutions financières, plutôt les entreprises technologiques.
Pour Patel, lorsque Facebook collecte des informations sur lui cela est normal jusqu’à un certain niveau. Cependant, la plainte assure « qu’en fin de 2010, Facebook a commencé à mettre en œuvre sa fonctionnalité “suggestion de tag”, qui s’appuie sur un logiciel sophistiqué de reconnaissance faciale pour faire correspondre automatiquement des images avec des noms. Le logiciel de Facebook collecte, analyse et compare des marqueurs faciaux sur les photos téléchargées par l'utilisateur et enregistre ce que l'on appelle un “template de visage” dans une base de données Facebook. Lorsqu'un utilisateur télécharge une photo, la fonctionnalité suggestions de tag compare les visages de n'importe quel individu sur cette photo aux templates de visage dans la base de données de Facebook. S'il y a une correspondance, Facebook suggère que l'utilisateur “tag” la personne sur la photo avec le nom approprié ».
La plainte assure qu’il s’agit d’une violation directe de la BIPA étant donné que Facebook collecte, enregistre et se sert des informations biométriques de ses utilisateurs (plus d’un milliard) sans même les en informer ou obtenir leur consentement. « Au lieu de cela, Facebook a annoncé qu'il allait collecter ces données seulement APRÈS avoir déjà commencé à le faire. De plus, Facebook n'a jamais reçu une communication écrite de ses membres autorisant la collecte, le stockage et l'utilisation de leurs informations biométriques. En effet, les membres de Facebook n’ont même pas l’opportunité de donner leur avis étant donné que Facebook a activé par défaut les suggestions de tag sur les comptes des utilisateurs ». Notons que l'entreprise a arrêté de s'en servir en Europe en 2012 à cause des problèmes relatifs à la vie privée.
Sous BIPA, les entreprises privées sont tenues d’élaborer des politiques écrites indiquant combien de temps elles conserveront les informations biométriques des personnes et quand elles détruiront définitivement ces données. « D'une certaine manière, il s'agit d'une loi modeste », a estimé Claire Gartland, avocate qui travaille sur les questions de confidentialité des consommateurs à EPIC, Electronic Privacy Information Center. « Il suffit d'un avertissement au consommateur ».
En maintenant une base de données des templates de visages des utilisateurs sans pour autant avoir une politique écrite mise en place, la plainte estime que Facebook a violé la loi. À l'époque, un porte-parole de Facebook a refusé de répondre aux questions sur cette plainte, mais a expliqué que les utilisateurs pouvaient facilement désactiver cette fonctionnalité de leurs comptes.
Fin 2015, Facebook a déposé une motion d’annulation en se basant sur son interprétation de la liste des identificateurs biométriques du BIPA, qui inclut des scans du visage et de ses géométries, mais exclut explicitement les photographies et les descriptions physiques. Facebook a fait valoir que la loi se réfère uniquement aux scanners qui créent des enregistrements biométriques basés sur le visage physique. Mais la cour a estimé que l'argument de Facebook était « peu convaincant » , affirmant que la loi était destinée à traiter toutes les technologies biométriques émergentes. La cour a donc rejeté la motion de Facebook.
Néanmoins, la juge Sandra Ikuta a déclaré que les utilisateurs de l’Illinois pouvaient intenter un procès en groupe, rejetant ainsi l’argument de Facebook selon lequel leurs revendications étaient uniques et nécessitaient des poursuites individuelles.
La décision de justice
Si Facebook risquait potentiellement de payer 35 milliards de dollars en réparation de préjudice (la loi de l'Illinois autorise des paiements de 1 000 ou 5000 dollars par violation, selon la gravité de la violation), l'entreprise est parvenue a un accord de 650 millions de dollars en août après avoir proposé de payer 550 millions de dollars en janvier 2020 qu'un juge a estimé insuffisants.
Ce n'est que vendredi 26 février 2021 qu'un juge a donné son approbation finale à cette proposition. Les 1,6 million de membres de Facebook dans l'Illinois ont demandé à être payés « aussi rapidement que possible ».
Les trois plaignants nommés dans la poursuite recevront chacun 5000 $ et les autres dans le groupe recevront au moins 345 $ chacun, selon l'ordonnance du juge James Donato du district nord de la Californie. Donato a déclaré que le règlement était un « résultat historique » et une « victoire majeure pour les consommateurs dans le domaine très controversé de la confidentialité numérique ».
« Nous sommes heureux d'avoir conclu un règlement afin de pouvoir passer outre cette question, ce qui est dans le meilleur intérêt de notre communauté et de nos actionnaires », a déclaré Facebook dans un communiqué.
« Cette affaire devrait servir de piqûre de rappel aux entreprises pour leur indiquer que les consommateurs se soucient profondément de leurs droits à la vie privée et que, s'ils sont poussés, ils se battront pour ces droits jusqu'à la Cour suprême, puis jusqu'à ce qu'ils soient justement indemnisés », a déclaré Paul Geller, le responsable de la branche protection des consommateurs du cabinet d'avocats Robbins Geller.
Facebook est connu pour être impliqué régulièrement dans les affaires de données privées des utilisateurs. Par exemple, la société est poursuivie pour avoir prétendument collecté les données biométriques d'utilisateurs d'Instagram ou de personnes qui apparaissent sur des photos sur la plateforme sans leur consentement.
La nouvelle plainte stipule qu'Instagram, propriété de Facebook, se sert d’un outil de marquage de visage qui utilise la reconnaissance faciale pour créer des « modèles de visage », qui sont ensuite stockés dans les bases de données Facebook. Elle ajoute qu'Instagram utilise cet outil automatiquement sans obtenir le consentement d'un utilisateur, même si les personnes figurant sur les images n'ont pas elles-mêmes de compte Instagram et n’acceptent donc pas les conditions d’utilisation. La plainte, déposée en août 2020 devant un tribunal de l'État de Redwood City, en Californie, concerne plus de 100 millions d'utilisateurs d'Instagram.
Source : décision de justice
Et vous ?
Que pensez-vous de cette décision ? 
