Le 26 juin 2022, le réseau social Instagram a annoncé tester aux Etats-Unis un nouveau système de vérification d’âge, via une IA (intelligence artificielle) de reconnaissance faciale. Mais alors comment ça marche ?
- Un nouveau système de vérification d’âge pour le réseau social Instagram ?
Il s’agit en réalité d’une technologie qui permet à partir des traits de visage / l’image d’une personne, d’authentifier et d’identifier celle-ci. Cela fait appel à des technologies et des algorithmes élaborés, qui collectent des données à caractère personnel dites « sensibles ».
La société Instagram, qui estimait auparavant ne pas être responsable de cette vérification des utilisateurs, est en quelque sorte contrainte de mettre en place des systèmes adéquats d’identification, notamment en ce qui concerne la protection des mineurs face à certains contenus de la plateforme.
Conformément aux conditions générales d’utilisation, l’âge minimal requis pour créer un compte Instagram est de 13 ans. Cependant de nombreux utilisateurs mentent délibérément sur leur date de naissance au moment de leur inscription, il suffit pour cela d’indiquer une fausse date de naissance.
C’est donc dans cette optique que la filiale de Meta s’est associée à Yoti, une start-up britannique, qui développe une intelligence artificielle de reconnaissance des traits du visage. Concrètement, si les utilisateurs souhaitent modifier leur âge sur l’application, trois options leurs seront alors offertes afin de prouver qu’ils sont bien majeurs :
- une vérification avec une carte d’identité, ou
- une confirmation par des proches de l’utilisateur, ou
- l’enregistrement d’une vidéo selfie qui sera envoyé directement à l’entreprise Yoti.
Dans le cas où les utilisateurs concernés choisiraient de fournir une vidéo selfie, les images seront transmises à Yoti, qui ne sera pas capable, en théorie, de reconnaître leur identité mais uniquement leur âge, selon Meta. Une fois l’analyse terminée, Meta et Yoti sont censées supprimer les images. L’on peut commencer à cerner, sans trop de difficulté, les enjeux et les potentiels risques d’une telle utilisation.
La société britannique affirme que la marge d’erreur de leur IA serait d’environ 1 an et demi pour les 13-19 ans, avec des imprécisions supplémentaires pour les femmes et les personnes racisées.
Julie Dawson, directrice de la politique et de la réglementation de Yoti, avait déclaré à CNN Business que « Lorsqu’un nouveau visage apparaît, il effectue une analyse au niveau des pixels de ce visage, puis estime un nombre – l’estimation de l’âge avec une valeur de confiance ». Pourtant, le système ne semble pas être encore totalement au point, ni fiable à 100%. Mais cette technologie n’est encore qu’au stade expérimental.
2. Focus sur les enjeux d’une telle technologie IA
L’intelligence artificielle favorise l’utilisation des technologies biométriques, et a fortiori les applications de reconnaissance faciale, employées à des fins de vérification et d’identification.
Si les avantages à utiliser des systèmes de reconnaissance biométrique sont bien réels aujourd’hui, en ce qui concerne notamment la sûreté et la sécurité publique, leur généralisation ainsi que leur caractère intrusif éveillent un certain nombre d’inquiétudes liées aux libertés fondamentales. Aussi, Meta affirme que le traitement ne permet pas l’identification des utilisateurs, cependant les photos peuvent très facilement être reliées à des noms, et mettre en cause la vie privée de ces derniers.
Cette technologie met ainsi en exergue de façon considérable les différents enjeux quant à la protection des données, et les risques d’atteintes aux libertés individuelles : liberté d’aller et venir anonymement, le droit à la vie privée etc.
3. La réglementation de la reconnaissance faciale sur le plan Européen et sur le plan national
L’utilisation des technologies de reconnaissance faciale entraîne la collecte, ou l’enregistrement d’images faciales à des fins d’identification.
De telles pratiques provoquent de nombreuses préoccupations et inquiétudes concernant le droit à la protection des données à caractère personnel, établi à l’article 8 de la charte des droits fondamentaux de l’Union européenne, mais également par rapport au droit au respect de la vie privée en vertu de l’article 7 de cette même charte.
Pour pallier ces effets, l’UE a déjà mis en place un certain nombre de règles strictes au titre de la charte des droits fondamentaux, du règlement général sur la protection des données (RGPD), et de la directive relative au traitement des données en matière pénale (Police Justice) du Parlement européen et du conseil.
- Concernant la réglementation du RGPD
L’intervention européenne permet d’encadrer le traitement des données personnelles via notamment comme nous l’avons vu, le règlement général sur la protection des données (règlement UE 2016/679, RGPD).
La reconnaissance faciale est un traitement automatisé de l’image, laquelle est une donnée personnelle. Au sens du RGPD, constitue une donnée à caractère personnel toute information rapportant à une personne identifiée ou identifiable, directement ou indirectement (Article 4-1 RGPD).
Dans le cas présent des vidéos selfies d’Instagram, les données transmises relèvent d’un caractère personnel, puisque sont en question des personnes identifiables, et sont donc protégeables au sens du RGPD.
Plus précisément, les vidéos envoyées sont considérées comme des données biométriques (Article 4-14 RGPD), c’est-à-dire des données résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, permettant son identification unique. Ces données sont considérées comme des données « sensibles », et par conséquent, en vertu du RGPD, leur traitement ne peut être licite qu’à certaines conditions énumérées par ce même règlement (Article 9-1 RGPD).
Par exemple, lorsque « la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel », ou encore lorsque « le traitement est nécessaire pour des motifs d’intérêt public important ».
L’usage de cette IA d’Instagram poursuit un intérêt que l’on peut considérer comme « d’intérêt public » et son usage est motivé spécialement en tenant compte du contexte, à savoir vérifier l’âge réel de ces utilisateurs, pour les contenus n’étant pas destinés aux mineurs de 13 ans.
Néanmoins cet effet est à mettre en balance avec les libertés fondamentales de la personne, d’autant plus si elle est mineure.
De plus, même si l’envoi des vidéos peut être caractérisé comme un consentement, il faudra s’assurer que les utilisateurs aient bien conscience qu’ils adhèrent au traitement de leur données personnelles par le réseau social.
L’exemple de Clearview AI :
La société Clearview AI avait créé un logiciel de reconnaissance faciale. Pour être licite au sens du RGPD, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 9 du RGPD. Le logiciel qui ne respectait pas cette règle a été déclaré illicite, en effet la société ne recueillait pas le consentement des personnes concernées.
- Concernant la réglementation en France
Pour toute application en France selon la CNIL, il faudra à minima une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre du traitement, le plus en amont possible, et fera aussi l’objet d’une réglementation récurrente.
« C’est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » CNIL.
Également, l’entité souhaitant instaurer ce système de reconnaissance faciale, devra respecter la loi du 6 janvier 1978 dite loi « Informatique et liberté » modifiée par la loi du 20 juin 2018, et par l’ordonnance du 12 décembre 2018.
La problématique de vérification d’âge n’intéresse pas seulement les réseaux sociaux. En France, les sites pornographiques sont aussi enclins par de nombreuses institutions dont la CNIL et l’ARCOM, à mettre en place des moyens efficaces de vérification d’âge (comme Instagram), sous l’impulsion notamment de la loi contre les violences sexuelles adoptée en juillet 2020.
C’est le cas de l’ARCOM qui souhaitait obtenir le blocage par les fournisseurs d’accès à internet français de cinq sites pornographiques. Elle estimait en effet que la fenêtre de consentement de vérification d’âge n’était pas suffisante.
Ce système n’est en théorie plus autorisé en France, et les éditeurs de site sont désormais tenus d’utiliser d’autres systèmes considérés plus efficaces.
Seulement, le législateur ne précise pas les moyens à mettre en place pour se mettre en conformité avec le RGPD. Le sénat rappelait simplement « Le choix d’une solution technique conforme au RGPD et ne posant pas de risque en ce qui concerne le respect de la vie privée n’est pas aisé ».
Sources :
Yoti annonce sa collaboration avec Instagram et révèle sa nouvelle technologie IA
M. Cahen ” Les risques juridiques des logiciels de reconnaissance faciale”.
Légipresse : blocage de sites pornographiques demandé par l’ARCOM
CNIL : La reconnaissance faciale pour un débat à la hauteur des enjeux
Règlement général sur la protection des données
T. Madiega et H. Mildebrath, service de recherche du Parlement Européen (EPRS) pour les députés