Problème 3514

Il sera interdit à Rite Aid d'utiliser la technologie de reconnaissance faciale à des fins de surveillance pendant cinq ans afin de régler les accusations de la Federal Trade Commission selon lesquelles le détaillant n'a pas mis en œuvre des procédures raisonnables et n'a pas évité de nuire aux consommateurs en utilisant la technologie de reconnaissance faciale dans des centaines de magasins.

« L'utilisation imprudente par Rite Aid des systèmes de surveillance faciale a laissé ses clients confrontés à l'humiliation et à d'autres préjudices, et ses violations des ordonnances mettent en danger les informations sensibles des consommateurs », a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. « L'ordonnance révolutionnaire d'aujourd'hui montre clairement que la Commission sera vigilante pour protéger le public contre une surveillance biométrique déloyale et des pratiques déloyales en matière de sécurité des données.

La ordonnance proposée exigera que Rite Aid mette en œuvre des garanties complètes pour éviter ces types de préjudices aux consommateurs lors du déploiement de systèmes automatisés qui utilisent des informations biométriques pour les suivre ou les signaler comme risques de sécurité. Cela obligera également Rite Aid à cesser d’utiliser une telle technologie si elle ne peut pas contrôler les risques potentiels pour les consommateurs. Pour régler les accusations, il a violé une [ordonnance de sécurité des données de la Commission de 2010](https://www.ftc.gov/news-events/news/press-releases/2010/07/rite-aid-settles-ftc-charges-it- n'a pas réussi à protéger la vie privée médicale-financière-clients-employés) en ne supervisant pas correctement ses prestataires de services, Rite Aid sera également tenue de mettre en œuvre un solide programme de sécurité des informations, qui doit être supervisé par les plus hauts dirigeants de l'entreprise.

Dans une plainte déposée devant un tribunal fédéral**,**, la FTC affirme que de 2012 à 2020, Rite Aid a déployé une technologie de reconnaissance faciale basée sur l'intelligence artificielle afin de identifier les clients susceptibles d'avoir été impliqués dans un vol à l'étalage ou d'autres comportements problématiques. La plainte accuse toutefois l'entreprise de n'avoir pas pris de mesures raisonnables pour éviter tout préjudice aux consommateurs, qui ont par conséquent été accusés à tort par les employés d'actes répréhensibles parce que la technologie de reconnaissance faciale a faussement signalé que les consommateurs correspondaient à une personne qui avait été précédemment identifiée comme étant. un voleur à l'étalage ou un autre fauteur de troubles.

Prévenir l'utilisation abusive des informations biométriques est une priorité élevée pour la FTC, [qui a émis un avertissement plus tôt cette année](https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc- met en garde contre les utilisations abusives des informations biométriques qui nuisent aux consommateurs) que l'agence surveillerait de près ce secteur. Les actions de Rite Aid ont soumis les consommateurs à l’embarras, au harcèlement et à d’autres préjudices, selon la plainte. L'entreprise n'a pas informé les consommateurs qu'elle utilisait cette technologie dans ses magasins et les employés ont été découragés de révéler de telles informations. Les employés, agissant sur de fausses alertes positives, ont suivi les consommateurs dans ses magasins, les ont fouillés, leur ont ordonné de partir, ont appelé la police pour confronter ou expulser les consommateurs et les ont publiquement accusés, parfois devant des amis ou des membres de leur famille, de vol à l'étalage ou d'autres actes répréhensibles. selon la plainte. En outre, la FTC affirme que les actions de Rite Aid ont touché de manière disproportionnée les personnes de couleur.

Selon la plainte, Rite Aid a engagé deux sociétés pour les aider à créer une base de données d'images d'individus – considérés comme des « personnes d'intérêt » parce que Rite Aid pensait qu'elles se livraient ou tentaient de se livrer à des activités criminelles dans l'un de ses points de vente – ainsi que leurs noms et d'autres informations telles que des données sur leurs antécédents criminels. L’entreprise a collecté des dizaines de milliers d’images d’individus, dont beaucoup étaient de mauvaise qualité et provenaient des caméras de sécurité de Rite Aid, des caméras téléphoniques des employés et même des reportages, selon la plainte.

Le système a généré des milliers de correspondances faussement positives, indique la FTC. Par exemple, la technologie mettait parfois en relation des clients avec des personnes initialement inscrites dans la base de données en fonction d'une activité située à des milliers de kilomètres de distance, ou signalait la même personne dans des dizaines de magasins différents à travers les États-Unis, selon la plainte. Plus précisément, la plainte indique que Rite Aid n'a pas réussi à :

* Considérer et atténuer les risques potentiels liés à une mauvaise identification des consommateurs, y compris les risques accrus pour certains consommateurs en raison de leur race ou de leur sexe. Par exemple, la technologie de reconnaissance faciale de Rite Aid était plus susceptible de générer des faux positifs dans les magasins situés dans des communautés majoritairement noires et asiatiques que dans des communautés majoritairement blanches ;

• Tester, évaluer, mesurer, documenter ou s'enquérir de l'exactitude de sa technologie de reconnaissance faciale avant de la déployer, y compris en omettant de rechercher des informations auprès de l'un ou l'autre des fournisseurs utilisés pour fournir la technologie de reconnaissance faciale sur la mesure dans laquelle la technologie a été testée. pour Precision;
• Empêcher l'utilisation d'images de mauvaise qualité en relation avec sa technologie de reconnaissance faciale, augmentant ainsi la probabilité d'alertes de correspondance faussement positives ; * Surveiller ou tester régulièrement l'exactitude de la technologie après son déploiement, notamment en omettant de mettre en œuvre ou d'appliquer toute procédure permettant de suivre le taux de correspondances faussement positives ou les actions prises sur la base de ces correspondances faussement positives ; et
• Former adéquatement les employés chargés d'exploiter la technologie de reconnaissance faciale dans ses magasins et signaler que cette technologie pourrait générer des faux positifs. Même après que Rite Aid soit passé à une technologie permettant aux employés de signaler une « mauvaise correspondance » et obligeant les employés à l'utiliser, l'entreprise n'a pris aucune mesure pour garantir que les employés respectaient cette politique.

Dans sa plainte, la FTC affirme également que Rite Aid a violé son ordonnance de sécurité des données de 2010 auprès de la Commission en ne mettant pas en œuvre de manière adéquate un programme complet de sécurité des informations. Entre autres choses, l’ordonnance de 2010 exigeait que Rite Aid veille à ce que ses fournisseurs de services tiers disposent des garanties appropriées pour protéger les données personnelles des consommateurs. Par exemple, la plainte allègue que l’entreprise a mené oralement de nombreuses évaluations de sécurité des prestataires de services et qu’elle n’a pas réussi à obtenir ou à posséder des documents de sauvegarde de ces évaluations, y compris pour les prestataires de services Rite Aid jugés « à haut risque ».

En plus de l'interdiction et des garanties requises pour les systèmes automatisés de sécurité ou de surveillance biométriques, d'autres dispositions de l'ordonnance proposée interdisent à Rite Aid de déformer ses pratiques en matière de sécurité et de confidentialité des données et exigent également que l'entreprise :

• Supprimer et demander à des tiers de supprimer toutes les images ou photos qu'ils ont collectées grâce au système de reconnaissance faciale de Rite Aid ainsi que tous les algorithmes ou autres produits développés à l'aide de ces images et photos ;
• Avertir les consommateurs lorsque leurs informations biométriques sont enregistrées dans une base de données utilisée en relation avec un système de sécurité ou de surveillance biométrique et lorsque Rite Aid prend une sorte d'action à leur encontre sur la base d'un résultat généré par un tel système ;
• Enquêter et répondre par écrit aux plaintes des consommateurs concernant les mesures prises contre les consommateurs liées à un système automatisé de sécurité ou de surveillance biométrique ;
• Fournir un avis clair et visible aux consommateurs concernant l'utilisation de la reconnaissance faciale ou d'autres technologies de surveillance biométrique dans ses magasins ;
• Supprimer toute information biométrique collectée dans un délai de cinq ans ;
• Mettre en œuvre un programme de sécurité des données pour protéger et sécuriser les informations personnelles qu'il collecte, stocke et partage avec ses fournisseurs ;
• Obtenir des évaluations tierces indépendantes de son programme de sécurité de l'information ; et
• Fournir à la Commission une certification annuelle de son PDG documentant le respect par Rite Aid des dispositions de l'ordonnance.

La Commission a voté 3-0 pour autoriser le personnel à déposer la plainte et l'ordonnance stipulée proposée contre Rite Aid. Le commissaire Alvaro Bedoya a publié une déclaration.

La plainte et l'ordonnance ont été déposées dans le district oriental de Pennsylvanie. Rite Aid fait actuellement l'objet d'une procédure de faillite et l'ordonnance entrera en vigueur après l'approbation du tribunal des faillites et du tribunal fédéral de district ainsi que la modification de l'ordonnance de 2010 par la Commission.

Les principaux avocats chargés de ces questions sont Robin Wetherill, Leah Frazier, Diana Chang, Christopher Erickson et Brian Welke du Bureau de protection des consommateurs de la FTC.