La question de la reconnaissance faciale sur le réseau social Facebook a déjà fait couler beaucoup d’encre des deux côtés de l’océan atlantique, mais elle revient ces jours sur le devant de la scène pour des raisons différentes.
De quoi parle-t-on ?
Depuis la fin de l’année dernière, le réseau social Facebook propose une fonction de reconnaissance faciale. L’utilisateur se voit ainsi proposer de marquer (tag) ses amis qui figurent dans les photos qu’il a téléchargé. Les photos avec des visages similaires sont regroupées et les noms des amis qui auraient été marqués précédemment sont suggérés. La reconnaissance faciale est plutôt efficace et permet à Facebook d’augmenter très rapidement le nombre de personnes identifiées.
Le principal reproche qui est fait à Facebook est que cette fonction a été ajouté de manière assez discrète et surtout par défaut (modèle opt-out). Celui qui ne souhaite pas que son nom soit proposé automatiquement à ses amis en cas de concordance avec son visage doit agir pour désactiver cette fonction. Un modèle opt-in, soit où l’utilisateur choisit cette fonction et exprime son accord, aurait été plus respectueux. Facebook n’a pas choisi cette méthode car la plupart des utilisateurs ne modifient pas leurs paramètres et le nombre d’utilisateurs aurait été moins important. Il est en outre intéressant de voir que le site parle de suggestion de photos ou de noms plutôt que de reconnaissance faciale ou biométrique (ce qui est tout de suite moins sympathique).
Pour désactiver cette fonction, il faut se rendre dans les paramètres de protection de la sphère privée > personnaliser les paramètres > ce que d’autres partagent > suggérer à mes amis les photos où j’apparais (suggérer mon nom lorsqu’il semble que j’apparais dans des photos) > désactiver.
A noter que les logiciels de photo Picasa (Google) et iPhoto (Apple) offrent des fonctions similaires de reconnaissance. Les craintes sont différentes car ces produits ne sont pas utilisés de la même manière, notamment en faisant appel à une base de données en réseau.
En Europe
En Allemagne, l’autorité de protection des données du Land de Hambourg (qui s’était déjà opposé à Facebook concernant la suggestion des amis et à Google Street View et Google Analytics) a déclaré le 2 aout 2011 que la reconnaissance faciale effectuée par Facebook était contraire au droit allemand et européen. Facebook a 15 jours pour répondre. Il est surtout reproché à Facebook de ne pas recueillir l’accord des personnes avant de procéder à l’analyse et l’enregistrement de leurs données biométriques.
Le Groupe Article 29 (composé de représentants des autorités nationales chargées de la protection des données, du Contrôleur européen de la protection des données et de la Commission européenne) examine cette question, de même que d’autres autorités européennes.
En Suisse, également cette fonction ne respecte pas la loi sur la protection des données. Le Préposé n’a pas encore reçu de plainte. Il considère cependant également que la procédure d’opt-out actuellement mise en place est intransparente et ne remplit pas les conditions d’un consentement explicite, libre et éclairé.
Aux USA
Du coté des Etats-Unis, où la fonction a été introduite en test l’an dernier, plusieurs organisations de défense de la sphère privée se sont emparées du sujet. Electronic Privacy Information Center (EPIC), Center for Digital Democracy (CDD), Consumer Watchdog et Privacy Rights Clearinghouse (PRC) ont déposé une plainte le 10 juin 2011 devant la Federal Trade Commission (la commision fédérale du commerce, en charge des mauvaises pratiques notamment en matière de protection des données).
Alessandro Acquisti, professeur à la Carnegie Mellon University, a présenté lors de la manifestation Blackhat 2011 à Las Vegas ses dernières recherches sur la convergence de la reconnaissance faciale, de l’informatique dans les nuages (cloud computing) et des réseaux sociaux. Alessandro Acquisiti y relève le développement récent de la reconnaissance faciale et le rôle que le visage joue pour relier l’identité en ligne et hors ligne, et par conséquent les possibilités de ré-identification (retrouver des données qui devraient être anonymes) qui en découlent.
Mise à jour le 5 septembre 2011
Comme le prévoit les législations européennes en matière de protection des données, il est possible de demander à Facebook de supprimer les informations stockées automatiquement pour reconnaître les photos. Le site propose un message standard à envoyer directement via le site. La suppression m’a ensuite été confirmée par courriel quelques minutes plus tard.