Incidents associés
Internet a été conçu pour rendre l'information gratuite et facile d'accès pour tous. Mais à mesure que la quantité d'informations personnelles en ligne augmente, les risques augmentent également. Le week-end dernier, un scénario cauchemardesque pour de nombreux défenseurs de la vie privée est arrivé. [The New York Times](https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html?utm_source=Memberful&utm_campaign=41977c2de4-daily_update_2020_01_21&utm_medium=email&utm_term=0_d4c7fece27-41977c2de4- 111021813) a révélé que Clearview AI, une société de surveillance secrète, vendait un outil de reconnaissance faciale aux forces de l'ordre alimenté par "trois milliards d'images" extraites du Web ouvert. Les flics ont depuis longtemps accès à une technologie similaire, mais ce qui rend Clearview différent, c'est l'endroit où il a obtenu ses données. La société a récupéré des images de millions de sites publics, dont Facebook, YouTube et Venmo, selon le Times.
Pour utiliser l'outil, les flics téléchargent simplement une image d'un suspect, et Clearview recrache des photos d'eux et des liens vers l'endroit où ils ont été publiés. La société a facilité la connexion instantanée d'une personne à son empreinte en ligne, la capacité même que beaucoup de gens craignaient depuis longtemps que quelqu'un possède. (Les affirmations de Clearview doivent être prises avec un grain de sel ; une enquête de Buzzfeed News a révélé que ses supports marketing semblaient contenir exagérations et mensonges. La société n'a pas immédiatement répondu à une demande de commentaire.)
Comme presque tous les outils, le grattage peut être utilisé à des fins nobles ou néfastes. Sans cela, nous n'aurions pas la précieuse WayBack Machine d'Internet Archive, par exemple. Mais c'est aussi ainsi que des chercheurs de Stanford ont construit il y a quelques années un largement condamné "gaydar", un algorithme qui, selon eux, pouvait détecter la sexualité d'une personne en regardant son visage. "C'est une chose fondamentale sur laquelle nous comptons tous les jours, beaucoup de gens sans s'en rendre compte, car cela se passe dans les coulisses", déclare Jamie Lee Williams, avocat à l'Electronic Frontier Foundation dans l'équipe des libertés civiles. L'EFF et d'autres groupes de défense des droits numériques ont souvent soutenu que les avantages du scraping l'emportaient sur les inconvénients.
Le grattage automatisé enfreint les politiques de sites comme Facebook et Twitter, ce dernier spécifiquement interdit le scraping pour créer des bases de données de reconnaissance faciale. Twitter a envoyé une lettre à Clearview cette semaine lui demandant d'arrêter de voler les données du site "pour pour quelque raison que ce soit », et Facebook examinerait également la question, selon le Times. Mais on ne sait pas s'ils ont un recours légal dans le système actuel.
Pour lutter contre le scraping, les entreprises ont souvent utilisé le Computer Fraud and Abuse Act, affirmant que cette pratique revient à accéder à un ordinateur sans autorisation appropriée. L'année dernière, cependant, la Cour d'appel du neuvième circuit a jugé que le scraping automatisé ne viole pas le CFAA. Dans cette affaire, LinkedIn a poursuivi et perdu contre une société appelée HiQ, qui a supprimé en masse les profils publics de LinkedIn et les a combinés avec d'autres informations dans une base de données pour les employeurs. Le EFF et d'autres groupes ont annoncé la décision comme une victoire, car il a limité la portée du CFAA - qui, selon eux, a souvent été abusé par les entreprises - et a aidé à protéger les chercheurs qui enfreignent les conditions de service au nom de la liberté d'information.
Le CFFA est l'une des rares options disponibles pour les entreprises qui veulent arrêter les scrapers, ce qui fait partie du problème. "C'est une loi de 1986, pré-internet", explique WIlliams. "Si c'est le mieux que nous puissions faire pour protéger notre vie privée avec ces problèmes très compliqués et très modernes, alors je pense que nous sommes foutus."
Les groupes de défense des libertés civiles et les entreprises technologiques ont tous deux réclamé une loi fédérale qui établirait le droit des Américains à la vie privée à l'ère numérique . Clearview, et des entreprises comme elle, rendent la question d'autant plus urgente. "Nous avons besoin d'une loi complète sur la confidentialité qui couvre les données biométriques", déclare Williams.
À l'heure actuelle, il n'y a qu'un patchwork de réglementations étatiques qui offrent potentiellement ce type de protections. Le California Consumer Privacy Act, qui est entré en vigueur ce mois-ci, donne aux résidents de l'État le droit de demander des entreprises comme Clearview de supprimer les données qu'elles collectent à leur sujet. D'autres réglementations, comme la loi sur la confidentialité des informations biométriques de l'Illinois, exigent que les entreprises obtiennent le consentement avant de collecter des données biométriques, y compris des visages. Un recours collectif déposé plus tôt cette semaine accuse Clearview d'avoir enfreint cette loi. Le Texas et Washington ont des réglementations similaires dans les livres, mais n'autorisent pas les poursuites privées; La loi californienne n'autorise pas non plus le droit d'action privé.
Certains experts affirment que l'autonomisation des consommateurs ne suffit pas. "On ne peut tout simplement pas s'attendre à ce que nous gérons chaque utilisation de nos données en ligne", déclare Dylan Gilbert, avocat spécialisé dans la protection de la vie privée au sein du groupe des libertés civiles Public Knowledge. Il soutient que la solution consiste plutôt à rendre illégales certaines utilisations des données personnelles. Par exemple, certaines villes, dont San Francisco, ont interdit la reconnaissance faciale par les agences municipales.
Une autre option consiste à donner un certain pouvoir aux organisations, plutôt qu'aux seuls individus. "Les entreprises et les plateformes comme LinkedIn ou Facebook ou Twitter devraient avoir le droit de protéger la vie privée de leurs utilisateurs en aval", déclare Tiffany C. Li, avocate en technologie et professeure invitée à la Boston University School of Law. Une loi fédérale pourrait permettre aux plateformes en ligne de poursuivre des entités comme Clearview au nom de leurs utilisateurs pour protéger leur droit à la vie privée. Le risque, cependant, est que les entreprises poursuivent des litiges qui servent principalement leurs propres intérêts. Un article de 2018 dans le Journal of Science & Technology Law de l'Université de Boston a révélé qu'en 20 ans de recherche de cas basés sur le CFAA, "un nombre énorme" concernaient des réclamations déposées par "par des concurrents commerciaux directs ou des entreprises sur des marchés étroitement adjacents les uns aux autres".
En l'absence de recours légaux, l'une des façons dont les entreprises ont empêché les gens de gratter leurs sites est d'utiliser des outils techniques. Facebook a été particulièrement agressif à cet égard. Il oblige les utilisateurs à se connecter pour voir presque tout sur son site, et il utilise un long fichier robots.txt pour empêcher Google de indexant plusieurs de ses pages. C'est pourquoi si vous recherchez votre nom sur Google, toute votre activité sur Facebook ne figurera probablement pas dans les résultats de recherche. Mais tous les efforts du réseau social n'ont pas été populaires. L'année dernière, l'entreprise a bloqué des outils de transparence tiers utilisé par les organisations à but non lucratif et les journalistes, car il a déclaré qu'il devait empêcher les acteurs malveillants de gratter son site.
Toutes les entreprises n'ont pas les ressources, ou les priorités, pour créer ce genre de barrières contre les scrapers potentiels. Venmo, l'application de paiement détenue par PayPal, a été critiquée à plusieurs reprises pour avoir rendu toutes les transactions publiques par défaut. Plusieurs chercheurs et artistes ont récupéré des millions de paiements de Venmo à démontrer comment cela met en danger la vie privée des personnes. Clearview dit avoir également exploité le site pour sa base de données. "Le grattage de Venmo est une violation de nos conditions d'utilisation et nous travaillons activement pour limiter et bloquer les activités qui enfreignent ces politiques", a déclaré un porte-parole dans un communiqué. Alors que l'application, et d'autres similaires, pourraient faire plus pour protéger les utilisateurs, attraper le grattage malveillant sera toujours un jeu du chat et de la souris en évolution, et une action réglementaire pourrait être plus efficace pour l'arrêter.
"Nous ne voulons pas limiter l'accès à l'information et nous ne voulons pas interdire le web scraping", déclare Li. "Mais nous devons réfléchir à d'autres moyens de prévenir certains des dommages à la vie privée que nous avons constatés avec Clearview."