Notons que, dans les circonscriptions qu’elle établit, la BIPA n’évoque pas les réseaux sociaux, mais s’intéresse plutôt à une utilisation potentielle d’identités biométriques dans les transactions financières tout en rappelant que ces identifiants sont plus radicaux qu’un mot de passe ou un code PIN : si un client voit son identité biométrique volée, de nouvelles empreintes ou un nouveau visage ne sauront pas lui être attribués. Mais le recours collectif n’attaque pas les institutions financières, plutôt les entreprises technologiques.
Pour Patel, lorsque Facebook collecte des informations sur lui cela est normal jusqu’à un certain niveau. Cependant, la plainte assure « qu’en fin de 2010, Facebook a commencé à mettre en œuvre sa fonctionnalité “suggestion de tag”, qui s’appuie sur un logiciel sophistiqué de reconnaissance faciale pour faire correspondre automatiquement des images avec des noms. Le logiciel de Facebook collecte, analyse et compare des marqueurs faciaux sur les photos téléchargées par l'utilisateur et enregistre ce que l'on appelle un “template de visage” dans une base de données Facebook. Lorsqu'un utilisateur télécharge une photo, la fonctionnalité suggestions de tag compare les visages de n'importe quel individu sur cette photo aux templates de visage dans la base de données de Facebook. S'il y a une correspondance, Facebook suggère que l'utilisateur “tag” la personne sur la photo avec le nom approprié ».
La plainte assure qu’il s’agit d’une violation directe de la BIPA étant donné que Facebook collecte, enregistre et se sert des informations biométriques de ses utilisateurs (plus d’un milliard) sans même les en informer ou obtenir leur consentement. « Au lieu de cela, Facebook a annoncé qu'il allait collecter ces données seulement APRÈS avoir déjà commencé à le faire. De plus, Facebook n'a jamais reçu une communication écrite de ses membres autorisant la collecte, le stockage et l'utilisation de leurs informations biométriques. En effet, les membres de Facebook n’ont même pas l’opportunité de donner leur avis étant donné que Facebook a activé par défaut les suggestions de tag sur les comptes des utilisateurs ». Notons que le New York Times a indiqué que l’entreprise l’a fermé en Europe en 2012 à cause des problèmes relatifs à la vie privée.
Sous BIPA, les entreprises privées sont tenues d’élaborer des politiques écrites indiquant combien de temps elles conserveront les informations biométriques des personnes et quand elles détruiront définitivement ces données. « D'une certaine manière, il s'agit d'une loi modeste », a estimé Claire Gartland, avocate qui travaille sur les questions de confidentialité des consommateurs à EPIC, Electronic Privacy Information Center. « Il suffit d'un avertissement au consommateur ».
En maintenant une base de données des templates de visages des utilisateurs sans pour autant avoir une politique écrite mise en place, la plainte estime que Facebook a violé la loi. Un porte-parole de Facebook a refusé de répondre aux questions sur cette plainte, mais a expliqué que les utilisateurs peuvent facilement désactiver cette fonctionnalité de leurs comptes.
Fin de 2015, Facebook a déposé une motion d’annulation en se basant sur son interprétation de la liste des identificateurs biométriques du BIPA, qui inclut des scans du visage et de ses géométries, mais exclut explicitement les photographies et les descriptions physiques. Facebook a fait valoir que la loi se réfère uniquement aux scanners qui créent des enregistrements biométriques basés sur le visage physique. Mais la cour a estimé que l'argument de Facebook était « peu convaincant » , affirmant que la loi était destinée à traiter toutes les technologies biométriques émergentes. La cour a donc rejeté la motion de Facebook. Si Facebook perd, l’entreprise pourrait être forcée à payer des dommages et intérêts à des millions d'utilisateurs de l'Illinois et de changer ses politiques dans cet État voire sur l’ensemble des États-Unis.
Anil Jain
Anil Jain, un professeur de sciences informatiques dans l’université du Michigan, pense que la cour pourrait chercher à savoir si Facebook s’est servi de l’approche conventionnelle des logiciels de correspondance. De tels systèmes conçoivent et stockent des templates de visage basés sur des milliers de mesures : « ils extraient des repères par échantillonnage à travers les contours du visage, des sourcils, du nez, des points le long des lèvres, des deux extrémités de la bouche », a assuré Jain.
Il a noté que les chercheurs de Facebook pour leur part ont lancé une nouvelle approche de la reconnaissance faciale qui s'appuie sur l'apprentissage automatique, en introduisant leur système DeepFace dans un article de 2014. Dans le rapport, les chercheurs décrivent la formation de leur système en utilisant un ensemble de données de 4,4 millions de visages associés à des noms et tirés de photographies Facebook. Le réseau de neurones profond du système a examiné les visages basés sur des millions de paramètres et a dérivé ses règles d'appariement de visage basées sur son apprentissage. « C'est plus comme une boîte noire », a affirmé Jain.
Pour les groupes de défense des libertés numérique, ce débat est attendu depuis longtemps. Jennifer Lynch, un avocat au sein de l’EFF, a rappelé que la technologie a connu une évolution rapide ces dernières années, seulement la réglementation n’a pas pu suivre le rythme. « Nous pourrions bientôt avoir des caméras de sécurité dans les magasins qui identifient les gens pendant qu’ils font leurs achats », s’est-elle inquiétée.
Source : plainte en recours collectif, New York Times (Facebook se rétracte en Europe), motion d'annulation de Facebook (au format PDF) , décision de justice sur la motion de Facebook (au format PDF), DeepFace