Le procureur général du Texas, Ken Paxton, a intenté une action en justice contre Meta lundi, alléguant que le parent de Facebook avait illégalement collecté des données biométriques sur les utilisateurs sans leur consentement, ce qui représente une violation des lois du Texas. Selon la plainte, Facebook a stocké des millions d'identifiants biométriques (définis par la loi comme « un scan de la rétine ou de l'iris, une empreinte digitale, une empreinte vocale ou un enregistrement de la géométrie de la main ou du visage ») contenus dans des photos et des vidéos téléchargées par des amis et la famille qui ont utilisé l'application de médias sociaux. Par cette activité illégale, Facebook a exploité les informations personnelles des utilisateurs et des non utilisateurs pour développer son empire et récolter des bénéfices exceptionnels historiques. La société a capturé à plusieurs reprises des identifiants biométriques sans consentement des milliards de fois, en connaissance de cause, en violation de la loi du Texas sur la capture ou l'utilisation d'identifiants biométriques et de la loi sur les pratiques commerciales trompeuses.Dans une annonce publiée le 2 novembre par Jerome Pesenti, vice-président de l'intelligence artificielle chez Facebook, le réseau social a annoncé qu’il allait mettre un terme à son système de reconnaissance faciale :
« Dans les semaines à venir, Meta fermera le système de reconnaissance faciale sur Facebook dans le cadre d'une initiative à l'échelle de l'entreprise visant à limiter l'utilisation de la reconnaissance faciale dans nos produits. Dans le cadre de ce changement, les personnes qui ont opté pour notre paramètre de reconnaissance faciale ne seront plus automatiquement reconnues dans les photos et les vidéos, et nous supprimerons le modèle de reconnaissance faciale utilisé pour les identifier.
« Ce changement représentera l'un des changements les plus importants dans l'utilisation de la reconnaissance faciale dans l'histoire de la technologie. Plus d'un tiers des utilisateurs actifs quotidiens de Facebook ont opté pour notre paramètre de reconnaissance faciale et peuvent être reconnus, et sa suppression entraînera la suppression de plus d'un milliard de modèles de reconnaissance faciale individuels.
« Faire ce changement a nécessité un examen attentif, car nous avons vu un certain nombre d'endroits où la reconnaissance faciale peut être très appréciée par les personnes utilisant des plateformes(...) Pendant de nombreuses années, Facebook a également donné aux gens la possibilité d'être automatiquement avertis lorsqu'ils apparaissent sur des photos ou des vidéos publiées par d'autres, et a fourni des recommandations à identifiant sur les photos. Ces fonctionnalités sont également alimentées par le système de reconnaissance faciale que nous arrêtons ».
Le réseau social a indiqué qu'il allait conserver la technologie pour certaines problématiques touchant à la sécurité : « Pour l'avenir, nous considérons toujours la technologie de reconnaissance faciale comme un outil puissant, par exemple, pour les personnes ayant besoin de vérifier leur identité, ou pour prévenir la fraude et l'usurpation d'identité. Nous pensons que la reconnaissance faciale peut aider pour des produits comme ceux-ci avec la confidentialité, la transparence et le contrôle en place, vous décidez donc si et comment votre visage est utilisé. Nous continuerons à travailler sur ces technologies et à engager des experts externes ».
L'annonce de Meta est accompagnée de quelques mises en garde importantes. Alors que Meta dit que la reconnaissance faciale n'est pas une fonctionnalité sur Instagram et ses appareils Portal, le nouvel engagement de l'entreprise ne s'applique pas à ses produits métavers, selon le porte-parole de Meta Jason Grosse.
En fait, Meta explore déjà des moyens d'intégrer la biométrie dans son entreprise émergente de métavers, qui vise à créer une simulation virtuelle basée sur Internet où les gens peuvent interagir en tant qu'avatars. Meta conserve également DeepFace, l'algorithme sophistiqué qui alimente sa fonction de reconnaissance faciale par marquage photo.
« Nous pensons que cette technologie a le potentiel de permettre des cas d'utilisation positifs à l'avenir qui maintiennent la confidentialité, le contrôle et la transparence, et c'est une approche que nous continuerons d'explorer alors que nous examinons comment nos futurs plateformes et appareils informatiques peuvent mieux répondre aux besoins des gens », a déclaré Grosse. « Pour toutes les applications futures potentielles de technologies comme celle-ci, nous continuerons à indiquer au public l'utilisation prévue, la manière dont les gens peuvent contrôler ces systèmes et leurs données personnelles, et la manière dont nous respectons notre cadre d'innovation responsable. »
La plainte du Texas
Bien que Facebook ait annoncé qu'il fermerait son système de reconnaissance faciale qui identifiait les visages sur les photos et suggérait aux utilisateurs de les taguer, le Texas lui a porté plainte. Dans sa plainte, le Texas affirme que Facebook a violé la loi de l'État en n'obtenant pas le consentement éclairé des utilisateurs pour collecter leurs données biométriques, ainsi qu'en ne détruisant pas ces données dans un délai raisonnable. La plainte affirme que Facebook a violé les droits des Texans qui n'ont même pas utilisé les services du géant des médias sociaux, car la société aurait collecté des identifiants faciaux sur des photos téléchargées sur son site, que celles-ci soient celles des utilisateurs de Facebook ou non.
Dans la plainte, le Texas a allégué que Facebook avait violé la loi en capturant des données de reconnaissance faciale sans consentement des milliards de fois.
L'État peut appliquer une sanction civile pouvant aller jusqu'à 25 000 $ par violation de la loi du Texas Capture or Use of Biometric Identifier Act (loi sur la capture ou l'utilisation d'un identifiant biométrique) pour chaque collecte illégale d'un identifiant biométrique, la divulgation de ces données à un tiers et le défaut de destruction des données en temps opportun, selon ce qui est indiqué dans la plainte.
L'État allègue également que Facebook a violé la loi Deceptive Trade Practices Act (loi sur les pratiques commerciales trompeuses) de l'État en trompant les consommateurs et a demandé une amende civile supplémentaire de 10 000 $ pour chaque violation de cette loi.
Paxton a déclaré lors d'une conférence de presse lundi que le total des sanctions pourrait se chiffrer en milliards de dollars.
Le Texas affirme que pendant que Facebook commercialisait son outil de suggestion de balises, les utilisateurs ne réalisaient pas pleinement qu'en acceptant ou en rejetant les balises, ils contribuaient à former le système d'intelligence artificielle de l'entreprise pour continuer à reconnaître ces visages.
Les plaignants affirment que les violations de Facebook ont laissé les Texans courir le risque de se faire voler leurs informations personnelles.
« Contrairement à d'autres identifiants, tels que les numéros de sécurité sociale, qui peuvent être modifiés en cas de vol ou de détournement, les identifiants biométriques sont permanents », est-il indiqué sur la plainte. « Une fois qu'un identifiant biométrique est capturé, un mauvais acteur peut accéder et exploiter l'identifiant pour le reste de la vie de la victime ».
Extrait de la plainte
« En 2011, approximativement 12 millions de Texans avaient un compte Facebook. En 2021, ce nombre a explosé et était désormais estimé à 20,5 millions de Texans. La popularité de sa marque a fait de Facebook l'une des entreprises les plus précieuses au monde, figurant parmi les 10 capitalisations boursières les plus importantes dans le monde avec un chiffre d'affaires de 85 milliards de dollars l'année dernière.
« Mais l'omniprésence de l'empire de Facebook a été faite à coups de tromperies, mensonges, abus effrontés des droits des Texans, tout ça pour le seul profit commercial de Facebook. Il est pertinent ici de noter que, pendant plus d'une décennie, alors qu'il se décrivait comme un endroit de rencontres de confiance pour les Texans qui voulaient partager du temps avec leurs amis et leurs familles, secrètement, Facebook collectait, divulguait et retenait illégalement - en plus d'en profiter - des informations plus personnelles et sensibles des utilisateurs Texans : il s'agit d'enregistrements de la géométrie du visage, à laquelle la loi texane fait référence avec l'expression identificateurs biométriques.
« Facebook a trompé le public en occultant la nature de ses pratiques. Facebook savait que le terme "données biométriques" aurait tendance à faire peur aux utilisateurs. Aussi, l'entreprise a-t-elle décidé de ne pas l'utiliser, encore moins d'en informer autrement les utilisateurs.
« Les Texans qui ont utilisé les services du réseau social Facebook étaient inconscients du fait que Facebook, sans leurs permissions, prenait des informations biométriques de leurs photos et vidéos qu'ils téléchargeaient (upload) dans le seul but de les montrer à leurs amis et à leurs familles.
« Aussi, à l'insu des utilisateurs, Facebook divulguait les informations personnelles des utilisateurs à d'autres entités qui les exploitaient par la suite.
« De plus, Facebook a souvent échoué à détruire les identifiants biométriques collectés dans un temps raisonnable, exposant ainsi les Texans à des risques toujours croissants pour leur bien-être, sûreté et sécurité. Dès le départ, lorsque les informations sont obtenues injustement, les garder indépendamment de la quantité de temps est déraisonnablement trop long.
« La conduite illégale et trompeuse de Facebook ne se limitait pas à ses utilisateurs. Pour les Texans qui n'utilisaient pas les services de Facebook, Facebook prenait tout de même des centaines de millions d'identifiants biométriques de photos et vidéos publiées d'amis et de membres de la famille qui n'utilisaient pas Facebook. Ces individus ne disposaient d'aucune ressource pour savoir ou contester cette exploitation de leurs identifiants biométriques.
« Facebook se servait de ces identifiants biométriques pour son propre bénéfice commercial, entraînant et améliorant sa technologie de reconnaissance faciale, créant par ce moyen une puissante intelligence artificielle qui atteint tous les coins du mot et prend au piège même ceux qui avaient intentionnellement décidé d'éviter d'avoir recours aux services de Facebook ».
Un accord de 650 millions dans une affaire similaire en Illinois
En 2015, Nimesh Patel, un utilisateur de Facebook résidant dans l’Illinois, a porté plainte en recours collectif contre le numéro un des réseaux sociaux, alléguant que l’utilisation de la société de la technologie de reconnaissance faciale viole une loi de l'Illinois adoptée en 2008. La BIPA (Biometric Information Privacy Act) définit les limites quant à la façon dont les entreprises peuvent stocker et utiliser les identificateurs biométriques des personnes, que la loi définit comme étant des empreintes digitales, des empreintes vocales, des analyses de la rétine ou de l'iris et des scans de géométrie de la main ou du visage.
Pour Patel, lorsque Facebook collecte des informations sur lui cela est normal jusqu’à un certain niveau. Cependant, la plainte assure « qu’en fin de 2010, Facebook a commencé à mettre en œuvre sa fonctionnalité “suggestion de tag”, qui s’appuie sur un logiciel sophistiqué de reconnaissance faciale pour faire correspondre automatiquement des images avec des noms. Le logiciel de Facebook collecte, analyse et compare des marqueurs faciaux sur les photos téléchargées par l'utilisateur et enregistre ce que l'on appelle un “template de visage” dans une base de données Facebook. Lorsqu'un utilisateur télécharge une photo, la fonctionnalité suggestions de tag compare les visages de n'importe quel individu sur cette photo aux templates de visage dans la base de données de Facebook. S'il y a une correspondance, Facebook suggère que l'utilisateur “tag” la personne sur la photo avec le nom approprié ».
La plainte assure qu’il s’agit d’une violation directe de la BIPA étant donné que Facebook collecte, enregistre et se sert des informations biométriques de ses utilisateurs (plus d’un milliard) sans même les en informer ou obtenir leur consentement. « Au lieu de cela, Facebook a annoncé qu'il allait collecter ces données seulement APRÈS avoir déjà commencé à le faire. De plus, Facebook n'a jamais reçu une communication écrite de ses membres autorisant la collecte, le stockage et l'utilisation de leurs informations biométriques. En effet, les membres de Facebook n’ont même pas l’opportunité de donner leur avis étant donné que Facebook a activé par défaut les suggestions de tag sur les comptes des utilisateurs ». Notons que l'entreprise a arrêté de s'en servir en Europe en 2012 à cause des problèmes relatifs à la vie privée.
Sous BIPA, les entreprises privées sont tenues d’élaborer des politiques écrites indiquant combien de temps elles conserveront les informations biométriques des personnes et quand elles détruiront définitivement ces données. « D'une certaine manière, il s'agit d'une loi modeste », a estimé Claire Gartland, avocate qui travaille sur les questions de confidentialité des consommateurs à EPIC, Electronic Privacy Information Center. « Il suffit d'un avertissement au consommateur ».
Si Facebook risquait potentiellement de payer 35 milliards de dollars en réparation de préjudice (la loi de l'Illinois autorise des paiements de 1 000 ou 5000 dollars par violation, selon la gravité de la violation), l'entreprise est parvenue à un accord de 650 millions de dollars en août 2020 après avoir proposé de payer 550 millions de dollars en janvier 2020 qu'un juge a estimés insuffisants.
Ce n'est que vendredi 26 février 2021 qu'un juge a donné son approbation finale à cette proposition. Les 1,6 million de membres de Facebook dans l'Illinois ont demandé à être payés « aussi rapidement que possible ».
Les trois plaignants nommés dans la plainte devaient recevoir chacune 5 000 $ et les autres dans le groupe au moins 345 $ chacun, selon l'ordonnance du juge James Donato du district nord de la Californie. Donato a déclaré que le règlement était un « résultat historique » et une « victoire majeure pour les consommateurs dans le domaine très controversé de la confidentialité numérique ».
Source : plainte du Texas
Et vous ?
Quelle lecture faites-vous de cette plainte ? L'exemple de l'Illinois gagnerait-il à être suivi ? Dans quelle mesure ? 
Envoyé par Arya Nawel
