Pourquoi la police n’a pas utilisé la reconnaissance faciale

Elle s’est cachée de la police pendant 30 ans. Un journaliste l’a retrouvée en 30 minutes : Daniela Klette, membre du groupe terroriste d’extrême gauche Faction Armée rouge (RAF), qui aurait été impliquée dans des attentats et des vols, a été arrêtée dans son appartement à Berlin-Kreuzberg à la fin de Février. La police a célébré le « succès spectaculaire des recherches ».

Quelques mois auparavant, les journalistes de l’ARD avaient travaillé sur un podcast sur l’affaire. Avec l’aide du journaliste d’investigation canadien Michael Colborne, ils ont trouvé la bardane sur une photo d’un club de Capoeira à Berlin. Il l’a apparemment retrouvée à l’aide du logiciel de reconnaissance faciale PimEyes, soi-disant en 30 minutes.

PimEyes est un type de moteur de recherche de visages. Vous pouvez télécharger une photo d’une personne sur le site Web du service et récupérer des images de la même personne à partir de sources accessibles au public : des galeries de photos de fêtes, des sites Web d’entreprises et de clubs, des sites pornographiques et des vidéos YouTube – seules les photos des réseaux sociaux manquent. PimEyes prétend avoir les visages de deux milliards de personnes dans sa base de données.

Celles-ci incluent de nombreuses photos d’époques où la reconnaissance faciale ne fonctionnait pas bien, notamment la photo de Klette au club de Capoeira. Cela date de 2017.

Aujourd’hui, les algorithmes font des choses étonnantes : les recherches de la NZZ montrent qu’ils peuvent retrouver des personnes grâce à des images très floues, même si elles portent des lunettes de soleil ou un masque respiratoire et ont de nouvelles lunettes ou une coupe de cheveux différente. En bref : la machine reconnaît désormais les gens mieux que la plupart des gens.

Pourquoi la police n’a pas utilisé la reconnaissance faciale

Techniquement, le logiciel est impressionnant, mais il n’est probablement pas légal. Aucun tribunal ne s’est encore prononcé sur la question de savoir si PimEyes avait enfreint une loi lors de la création de son logiciel. Cependant, le consentement des personnes dont les photos sont stockées et traitées dans le logiciel n’a jamais été demandé : elles se sont retrouvées dans une base de données de reconnaissance faciale à leur insu.

Pour Martin Steiger, avocat et porte-parole auprès des médias de la Digital Society Association, c’est clair : le fait même de collecter des données pour le logiciel PimEyes viole la loi sur la protection des données. Car les données biométriques comme le visage en sont particulièrement protégées. Il déclare : « La police n’a pas de base légale pour utiliser un tel instrument. »

Florent Thouvenin, professeur de droit à l’Université de Zurich, affirme que le consentement explicite pour l’utilisation de données personnelles n’est nécessaire que dans certains cas. «Mais des outils comme PimEyes sont très problématiques. Ils permettent de nouvelles formes de surveillance.

Pas d’appareil de surveillance à la chinoise

Que cela crée une situation dans laquelle les journalistes disposent d’outils interdits à la police n’est qu’absurde à première vue, estime Thouvenin. Si l’on y regarde de plus près, cela a du sens : « Il s’agit de fixer des limites à l’État en matière de traitement des données personnelles. » Les actions gouvernementales, telles que les opérations de police, sont donc soumises à des exigences de protection des données plus élevées que celles des particuliers.

Cela s’explique en partie par le fait que les autorités disposent de plus de pouvoir et de données sur les particuliers que sur la plupart des organisations privées : données fiscales, empreintes digitales et scanners de l’iris pour les passeports, par exemple. Il est interdit à la police d’accéder à ces données, car elle pourrait sinon mettre en place un appareil de surveillance, comme cela s’est déjà produit dans des pays comme la Chine.

Mais ce qui est interdit à la police fait aussi polémique pour les journalistes. Steiger qualifie l’utilisation des PimEyes d’Allemagne de « délicate ». C’est peut-être la raison pour laquelle les podcasteurs allemands soulignent que ce n’est pas eux-mêmes qui ont découvert le visage de Klette, mais plutôt un chercheur canadien.

PimEyes viole probablement les droits de milliards de personnes

Le fait que PimEyes soit un service en ligne dont la création et l’utilisation sont probablement illégales soulève des questions. Cela montre que les entreprises technologiques créent des faits que le système juridique actuel ne peut pas gérer.

On pense que ce service viole les droits de milliards de personnes, mais comme aucune des parties lésées n’est suffisamment touchée, personne ne porte plainte. Bien qu’il fonctionne selon le portail « Netzpolitik » une procédure engagée par le délégué à la protection des données du Land du Bade-Wurtemberg contre PimEyes, mais cela n’a apparemment eu aucun impact concret sur les activités de l’entreprise.

PimEyes a déménagé son siège social d’Europe aux Seychelles. Cela rend plus difficile pour les autorités européennes de poursuivre l’entreprise pour violation de la protection des données. Néanmoins, Thouvenin estime : « Une interdiction d’outils comme PimEyes serait un signal clair, et il y aurait probablement un consensus en ce sens. »

Aux États-Unis, les autorités achètent un logiciel de reconnaissance faciale

Dans le même temps, la question se pose de savoir comment la société doit gérer les nouvelles possibilités techniques. Les autorités utilisent à plusieurs reprises des moyens pour lesquels il n’existe aucune base légale. Parfois, une loi est votée par la suite pour légaliser ces moyens.

Selon une liste de clients divulguée, les autorités suisses ont déjà testé la reconnaissance faciale de Clearview. Cette startup a extrait des images de Facebook, Instagram, Linkedin, etc. et les a transformées en base de données pour les recherches d’identité. Contrairement à PimEyes, Clearview ne pouvait jamais être simplement utilisé en ligne : l’entreprise vendait son logiciel spécifiquement aux autorités policières américaines. Cependant, le logiciel n’a jamais été officiellement utilisé en Suisse.

En revanche, la police de plusieurs cantons, dont Saint-Gall, a utilisé un programme différent pour identifier les visages. Il ne se base pas sur des photos trouvées sur Internet, mais « uniquement » sur des recherches dans des bases de données et des enregistrements de la police. Néanmoins, la question de savoir s’il existe une base légale à cet égard reste controversée.

Fondamentalement, toutes les nouvelles méthodes de recherche reposent sur la proportionnalité, explique Steiger : « Le succès potentiel de la recherche justifie-t-il l’utilisation de moyens contraires aux droits fondamentaux et aux droits de l’homme ? Il estime lui-même que les autorités n’ont pas besoin de nouveaux pouvoirs pour bien enquêter.

La limite entre les moyens autorisés et ceux qui ne sont pas autorisés relève en fin de compte d’une décision sociale et politique.