La reporter Tech du New York Times, Kashmir Hill (@kashhill), vient de publier une longue enquête sur Clearview, une entreprise spécialiste de la surveillance, financée par le multimilliardaire libertarien Peter Thiel – qui est déjà à l’origine de Palantir (Wikipédia), un autre géant de la surveillance qui travaille pour les services de renseignements. On y apprend que Clearview a collecté sur le web 3 milliards de photographies provenant principalement des réseaux sociaux (mais également des portraits provenant de bases de données fédérales permettant d’identifier des personnes condamnées par la justice ou les portraits de titulaires du permis de conduire…) afin de construire un système de reconnaissance facial total (voir également la synthèse qu’en livre le journal Le Monde). Ce service, déjà utilisé par des centaines de services de police aux États-Unis et par des services de sécurité privés, peut servir à identifier un militant dans une manifestation , un inconnu dans le métro ou dans un centre commercial… Le projet de Clearview, on le comprendra aisément, mine totalement notre état de droit puisqu’il permet finalement aux services publics comme privés d’avoir accès à des données dont la collecte aurait beaucoup de mal à être autorisée. Tout comme Amazon le propose avec sa sonnette de porte Ring, nous sommes confrontés à un capitalisme de surveillance qui pose d’une manière aiguë la question de son contrôle démocratique. Comme le pointe le professeur de droit spécialiste de la vie privée à Stanford, Albert Gidari (@algidari), « sans une loi fédérale très stricte sur la vie privée [qui interdirait ces collectes massives d’images], nous sommes foutus ».

Réguler : oui, mais depuis quelles bonnes questions ?



Face à ces défis, la question de la régulation reste complexe. Aux États-Unis, un petit nombre de villes promulguent une interdiction de la reconnaissance faciale… Mais ce pourrait bien être insuffisant, explique le spécialiste en sécurité Bruce Schneier (blog, @schneierblog) dans une tribune pour le New York Times.



« Ces efforts sont bien intentionnés, mais l’interdiction de la reconnaissance faciale n’est pas la bonne façon de lutter contre la surveillance moderne. Se concentrer sur une méthode d’identification particulière donne une fausse idée de la nature de la société de surveillance que nous sommes en train de construire. La surveillance de masse omniprésente est de plus en plus la norme. Dans des pays comme la Chine, une infrastructure de surveillance est en train d’être construite par le gouvernement à des fins de contrôle social. Dans des pays comme les États-Unis, elle est construite par des sociétés afin d’influencer notre comportement d’achat, et elle est incidemment utilisée par le gouvernement » pour des objectifs de contrôle social.

Pour Schneier, la surveillance de masse moderne repose sur trois grandes composantes : l’identification, la corrélation et la discrimination.

La reconnaissance faciale est une technologie qui peut être utilisée pour identifier des personnes à leur insu ou sans leur consentement. Elle repose sur la prévalence de caméras et sur le machine learning qui permet de faire correspondre les images des caméras avec des bases de données de photos existantes. Mais ce n’est qu’une technologie d’identification parmi d’autres. On sait identifier à distance des personnes par leur battement de coeur, leurs caractéristiques vocales ou leur démarche, voire lire les empreintes digitales ou les motifs de l’iris à plusieurs mètres de distance. Sans compter que nous pouvons également identifier des individus via leur utilisation de leurs téléphones, de leurs cartes de crédit ou des plaques d’immatriculation de leurs voitures… Quand ces technologies d’identification ne sont pas croisées entre elles pour améliorer encore un peu plus l’État de surveillance.

Une fois que nous sommes identifiés, les données sur qui nous sommes et ce que nous faisons peuvent être corrélées à d’autres comme des données sur les déplacements, sur nos achats, sur nos navigations en ligne ou sur les personnes avec lesquelles nous échangeons. D’innombrables données (sur nos revenus, nos modes de vie, nos intérêts…) sont ainsi utilisées et recueillies par d’innombrables sociétés pour être analysées et vendues à notre insu ou sans notre consentement. Cette industrie des vendeurs de données, très peu réglementée, a pour but principal de nous afficher de la publicité selon nos profils et à l’avenir, promet d’être capable de nous traiter différemment lorsque nous entrerons dans un magasin, comme c’est déjà le cas lorsque nous visitons des sites web.

Le fait qu’il n’existe pas actuellement de base de données complète sur les battements de coeur ou l’allure des populations ne rend pas moins efficaces ces technologies, souligne Schneier… Bien souvent, il importe assez peu également que l’identification soit liée à un nom. En fait, le problème demeure surtout celui d’une identification constante et permanente qui finit toujours par permettre une réidentification à un moment où un autre.

Réglementer la surveillance nécessite d’aborder les trois étapes du processus, estime très justement Schneier. Or, interdire la reconnaissance faciale sera sans effet, si les systèmes de surveillance peuvent vous identifier grâce aux adresses uniques de vos téléphones mobiles. Pour Schneier, la bonne question à se poser consiste à définir les règles pour déterminer quand une surveillance à notre insu et sans notre consentement est permise et quand elle ne l’est pas. Nous avons également besoin de règles pour déterminer comment nos données peuvent être combinées avec d’autres, ou quand elles ne peuvent pas l’être (comme de règles pour savoir quand elles peuvent être achetées et vendues à notre insu ou sans notre consentement), et ce alors que les grandes entreprises du Net recueillent sur nous plus de données détaillées que n’importe quel État policier du siècle dernier n’était capable d’en recueillir.

Enfin, nous avons besoin de savoir quand et comment il est permis aux entreprises de faire de la discrimination – puisque c’est bien ce qu’elles font ! Certaines formes de discrimination sont déjà protégées : il est ainsi interdit de faire de la discrimination sur la race et le sexe. Faut-il renforcer cette protection pour protéger de nouvelles catégories de personnes et lesquelles (comme les enfants, les plus démunis, certains niveaux de revenus…) ?

Pour Schneier, le débat sur la reconnaissance faciale risque de nous faire oublier l’essentiel. « Nous devons avoir une conversation sérieuse sur toutes les technologies d’identification, de corrélation et de discrimination, et décider à quel point nous, en tant que société, voulons être espionnés par les gouvernements et les entreprises – et quel genre d’influence nous voulons qu’ils exercent sur nos vies. »

Sur son blog sur Mediapart, le sociologue Laurent Mucchielli (@LMucchielli) posait également très bien ces enjeux. En posant des questions supplémentaires et très concrètes : qui est fiché par ces dispositifs ? Qui aura accès aux fichiers (et qui n’y aura pas accès) ? Où se croisent les données et comment ? Que feront très concrètement les petites mains et les grandes mains qui auront accès à ces données (« Quelle partie de la population serait fichée ? Et qui y aurait accès ? Voilà les deux problèmes. ») ? Ou, pour le dire autrement, comment tracer une ligne claire entre des technologies de surveillance circonscrites à la lutte contre le crime et des technologies de surveillance élargies au contrôle de la docilité de la population ?… Derrière ces questions, le sociologue pose très bien le risque du glissement permanent, de l’autorisation sans fin à collecter toujours plus de données pour améliorer le système. Pour lui, c’est assurément contre ces risques incessants d’évolution de législation dont nous devrions nous prémunir et nous garantir – pour autant que nous puissions graver dans le marbre de lois par nature changeantes la moindre certitude !

En octobre, les professeurs de droit Barry Friedman (Policing Project et auteur de Unwarranted : Policing Without Permission (Sans garantie : faire la police sans permission, Farrar, Straus and Giroux, 2017, non traduit) et Andrew Guthrie Ferguson (@ProfFerguson), auteur de The Rise of Big Data Policing (La monté de la police par les Big Data, New York University Press, 2017, non traduit) condamnaient ainsi dans une tribune pour le New York Times, « la surveillance des visages » (c’est-à-dire l’utilisation de la reconnaissance faciale en temps réel pour trouver où se trouve quelqu’un), mais prônaient l’autorisation de « l’identification faciale » (pour que la police puisse identifier un criminel filmé par une caméra, et ce uniquement pour les crimes les plus graves).

S’ils proposaient que la police puisse accéder à des bases de données contenant tous les visages et pas seulement ceux de criminels, comme le propose le dystopique Clearview, ils rappelaient néanmoins une règle d’or : l’identification des visages ne devrait pas être autorisée sans décision de justice et sans sanctions en cas d’utilisation abusive : « sans contrôle judiciaire, nous ne pouvons pas être sûrs que l’identification faciale est utilisée uniquement dans les limites autorisées ». C’est peut-être effectivement là un des problèmes majeurs de la reconnaissance faciale et de ces technologies : le fait qu’elles se déploient sans garantie aucune, dans des cadres par nature glissants, mouvants… et donc qui peuvent se révéler demain toujours plus dangereux qu’ils ne sont aujourd’hui. En tout cas, l’idée de regarder la question de la surveillance sous l’angle des discriminations qu’elle introduit, comme le suggère Bruce Schneier, est certainement un levier inédit pour en limiter le pouvoir.

Hubert Guillaud