Skip to main content

4 Mar, 2024

Votre visage à vendre : n’importe qui peut légalement collecter et commercialiser vos données faciales sans votre consentement explicite, en Australie

Votre visage à vendre : n’importe qui peut légalement collecter et commercialiser vos données faciales sans votre consentement explicite, en Australie

La matinée a commencé par un message d’un ami : « J’ai utilisé tes photos pour entraîner ma version locale de Midjourney. J’espère que cela ne te dérange pas », suivi de photos de moi portant un costume steampunk.

Le steampunk est un mouvement culturel qui mêle l’esthétique et la technologie du XIXème siècle à des éléments de science-fiction. Ses œuvres littéraires et audiovisuelles se déroulent dans une réalité alternative où le progrès technologique est basé non pas sur l’électricité, mais sur la machine à vapeur.

En fait, cela dérangerait n’importe qui et on se sentirait très mal à l’aise. N’est-ce pas le cas ? Je parie que Taylor Swift s’est sentie violée lorsque des images d’elle ont été diffusées sur l’internet. Mais le statut juridique de mon visage est-il différent de celui du visage d’une célébrité ?

Les informations sur votre visage sont une forme unique d’informations personnelles sensibles. Elles permettent de vous identifier. Le profilage intensif et la surveillance gouvernementale de masse font l’objet d’une grande attention. Mais les entreprises et les particuliers utilisent également des outils qui collectent, stockent et modifient les informations faciales, et nous sommes confrontés à une vague inattendue de photos et de vidéos générées à l’aide d’outils d’intelligence artificielle (IA).

L’élaboration d’une réglementation juridique pour ces utilisations est à la traîne. À quel niveau et de quelle manière nos données faciales doivent-elles être protégées ?

Le consentement implicite est-il suffisant ?

La loi australienne sur la protection de la vie privée considère que les informations biométriques (y compris votre visage) font partie de nos informations personnelles sensibles. Toutefois, la loi ne définit pas les informations biométriques.

Malgré ses inconvénients, cette loi est actuellement la principale législation australienne relative à la protection des informations faciales. Elle stipule que les informations biométriques ne peuvent être collectées sans le consentement de la personne.

Mais la loi ne précise pas s’il doit s’agir d’un consentement explicite ou implicite. Le consentement explicite est donné de manière explicite, oralement ou par écrit. Le consentement implicite signifie que le consentement peut être raisonnablement déduit des actions de la personne dans un contexte donné. Par exemple, si vous entrez dans un magasin qui affiche « caméra de reconnaissance faciale dans les locaux », votre consentement est implicite.

Une affiche dans un supermarché indiquant qu’un essai de technologie de caméra est en cours, partiellement masquée par quelques poubelles.

Un panneau discret indiquant qu’un essai de technologie de caméra est en cours est considéré comme un consentement implicite. Margarita Vladimirova

Mais l’utilisation du consentement implicite ouvre la porte à l’exploitation potentielle de nos données faciales. Bunnings, Kmart et Woolworths (chaines de magasins en Australie notamment) ont tous utilisé des panneaux faciles à repérer pour signaler l’utilisation de la reconnaissance faciale ou de la technologie des caméras dans leurs magasins.

Précieuses et non protégées

Nos informations faciales sont devenues si précieuses que des sociétés de données telles que Clearview AI et PimEye les traquent impitoyablement sur l’internet, sans notre consentement.

Ces sociétés constituent des bases de données destinées à la vente, utilisées non seulement par la police de différents pays, dont l’Australie, mais aussi par des entreprises privées.

Même si vous supprimez toutes vos données faciales de l’internet, vous pouvez facilement être capturé en public et apparaître dans une base de données. Le fait de figurer dans la vidéo TikTok de quelqu’un sans son consentement en est un excellent exemple – en Australie, cette pratique est légale.

En outre, nous sommes maintenant confrontés à des programmes d’IA générative tels que Midjourney, DALL-E 3, Stable Diffusion et d’autres. Non seulement la collecte, mais aussi la modification de nos informations faciales peuvent être facilement effectuées par n’importe qui.

Nos visages sont uniques, ils font partie de ce que nous percevons comme nous-mêmes. Mais ils ne bénéficient pas d’un statut juridique particulier ni d’une protection juridique spéciale.

La seule mesure que vous pouvez prendre pour protéger vos données faciales contre une collecte agressive par un magasin ou une entité privée est de déposer une plainte auprès du bureau du commissaire australien à l’information, ce qui peut ou non donner lieu à une enquête.

Il en va de même pour les « deepfakes ». La Commission australienne de la concurrence et de la consommation n’examinera que les activités liées aux échanges et au commerce, par exemple si un « deepfake » est utilisé à des fins de publicité mensongère.

La loi sur la protection de la vie privée ne nous protège pas des actions des autres. Je n’ai pas consenti à ce que quelqu’un entraîne une IA à partir de mes données faciales et produise des images truquées. Mais il n’existe pas non plus de contrôle sur l’utilisation des outils d’IA générative.

Il n’existe actuellement aucune loi empêchant d’autres personnes de collecter ou de modifier vos informations faciales.

Rattraper la loi

Nous avons besoin d’une série de réglementations sur la collecte et la modification des informations faciales. Nous avons également besoin d’un statut plus strict pour les informations faciales elles-mêmes. Heureusement, certains développements dans ce domaine semblent prometteurs.

Des experts de l’université de technologie de Sydney ont proposé un cadre juridique complet pour réglementer l’utilisation de la technologie de reconnaissance faciale en vertu du droit australien.

Ce cadre contient des propositions visant à réglementer la première étape d’une activité non consensuelle : la collecte d’informations personnelles. Cela pourrait contribuer à l’élaboration de nouvelles lois.

En ce qui concerne la modification de photos à l’aide de l’IA, nous devrons attendre les annonces du nouveau groupe d’experts gouvernementaux sur l’IA, qui travaille à l’élaboration de « pratiques sûres et responsables en matière d’IA ».

Il n’y a pas de discussions spécifiques sur un niveau de protection plus élevé pour nos informations faciales en général. Toutefois, la récente réponse du gouvernement à l’examen de la loi sur la protection de la vie privée par le procureur général contient des dispositions prometteuses.

Le gouvernement a convenu qu’il convenait d’examiner plus avant la possibilité de renforcer les exigences en matière d’évaluation des risques dans le contexte de la technologie de reconnaissance faciale et d’autres utilisations d’informations biométriques. Ces travaux devraient être coordonnés avec les travaux en cours du gouvernement sur l’identification numérique et la stratégie nationale pour la résilience de l’identité.

En ce qui concerne le consentement, le gouvernement a donné son accord de principe pour que la définition du consentement requis pour la collecte d’informations biométriques soit modifiée afin de préciser qu’il doit être volontaire, éclairé, actuel, spécifique et sans ambiguïté.

Les informations faciales étant de plus en plus exploitées, nous attendons tous de voir si ces discussions aboutiront à une loi – et nous espérons que ce sera le cas le plus tôt possible.

Qu’en est-il en France ? Sommes-nous davantage protégés ? Rien n’est moins sûr surtout si le « manipulateur » est à l’étranger.

https://theconversation.com/your-face-for-sale-anyone-can-legally-gather-and-market-your-facial-data-without-explicit-consent-224643