Écrit par Stephen Burns, Ruth Promislow, Sebastien Gittens and Kees de Ridder

L’utilisation d’un outil de reconnaissance faciale par Clearview AI, Inc. a fait l’objet d’une enquête par les commissaires à la protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec et leur homologue fédéral. Dans leur rapport de conclusions publié conjointement, les commissaires à la protection de la vie privée ont conclu que le traitement par Clearview des renseignements personnels des Canadiennes et des Canadiens contrevenait aux lois provinciales et fédérales sur la protection des renseignements personnels dans les secteurs privé, et ont recommandé que Clearview cesse toutes ses activités au Canada et supprime toutes les images et tous les tableaux biométriques sur les Canadiens en sa possession.

Dans le rapport, les commissaires à la protection de la vie privée confirment leur position sur trois points importants qui s’appliqueraient au-delà de l’utilisation de la reconnaissance faciale :

1. les renseignements biométriques sont intrinsèquement sensibles;
2. la législation sur la protection des renseignements personnels a une application extraterritoriale; et
3. les renseignements disponibles sur Internet, par exemple par l’entremise des médias sociaux, ne sont pas nécessairement exemptés des exigences en matière de consentement en vertu des lois sur la protection des renseignements personnels.

Historique

L’outil de reconnaissance faciale de Clearview fonctionne en quatre étapes séquentielles :

1. télécharger des images de visages et de données connexes à partir de sources en ligne (y compris des sites de médias sociaux);
2. créer des identificateurs biométriques pour chaque image;
3. permettre aux utilisateurs de télécharger une image cible; et
4. fournir une liste d’images et de métadonnées, y compris un lien vers la source, d’images que le logiciel de Clearview détermine être similaires à la cible.

Les clients de Clearview comprennent des organismes d’application de la loi, comme la GRC, et d’autres dans diverses administrations. Clearview commercialise son outil comme un service qui permet aux organismes d’application de la loi d’identifier rapidement les personnes d’intérêt. Selon le rapport, Clearview a gratté des milliards d’images et créé des identificateurs biométriques pour des dizaines de millions de Canadiens, y compris des enfants. 

Droit

D’une seule voix, les commissaires ont publié le rapport en vertu de chacune de leurs lois habilitantes respectives :

1. la Loi sur la protection des renseignements personnels et les documents électroniques du Canada;
2. la Loi sur la protection des renseignements personnels dans le secteur privé du Québec et la Loi instituant un cadre juridique en matière de technologies de l’information;
3. la Loi sur la protection des renseignements personnels de la Colombie-Britannique; et
4. Loi sur la protection des renseignements personnels de l’Alberta.

Questions en litige

Les principales questions examinées dans le rapport étaient les suivantes :

1. si les commissaires fédéraux et provinciaux avaient compétence pour examiner la question;
2. si Clearview était tenue d’obtenir le consentement pour son traitement des renseignements personnels et, dans l’affirmative, si elle l’a fait; et
3. si Clearview a traité des renseignements personnels à des fins raisonnables.

Compétence

En ce qui concerne la compétence, Clearview a adopté la position selon laquelle les commissaires provinciaux et fédéraux à la protection de la vie privée n’avaient pas compétence sur Clearview parce qu’elle était située à l’extérieur du Canada et ne ciblaient pas les Canadiens, mais recueillaient plutôt des renseignements sans discernement.

Le rapport rejetait l’argument de Clearview, soutenant que Clearview « commercialisait activement ses services auprès d’organisations canadiennes [et] déclarait publiquement que le Canada faisait partie de son marché principal dans des déclarations aux médias et à son propre matériel promotionnel ». Le rapport indiquait également que Clearview fournissait des services à la GRC et à d’autres entités canadiennes d’application de la loi, dans le cadre d’ententes de procès payants et gratuits. Le fait que Clearview « recueille des images sans tenir compte de la géographie n’exclut pas la compétence [du commissaire fédéral à la protection de la vie privée] lorsqu’une grande partie de son contenu provient du Canada ».

En ce qui concerne la compétence provinciale, le rapport indique que « les activités de Clearview relèvent à la fois du [commissaire fédéral » et de celles des provinces » pour les raisons suivantes :

1. « La pratique de Clearview en matière de grattage sans discernement a sans aucun doute donné lieu à la collecte de renseignements personnels de personnes au Québec, en Alberta et en Colombie-Britannique; » et
2. « les organismes provinciaux et municipaux d’application de la loi situés dans les provinces et soumis à la surveillance provinciale ont été ciblés et ont utilisé des comptes d’essai du logiciel de Clearview. »

Consentement

Clearview a reconnu qu’elle n’a fait aucune tentative pour obtenir le consentement exprès des personnes concernées et a plutôt soutenu qu’il n’y a aucune obligation d’obtenir le consentement pour utiliser les renseignements personnels qui sont disponibles sur Internet puisqu’il ne pouvait y avoir d’attente raisonnable en matière de vie privée. Au contraire, le rapport a soutenu que les images téléchargées sur les médias sociaux ne sont pas des « publications » de la même manière que les images d’un magazine pourraient l’être, et ne sont donc pas assujetties aux mêmes exceptions pour l’exigence de consentement. En outre, le rapport a noté que ces images ne sont pas nécessairement téléchargées avec le consentement de toutes les personnes photographiées, et ne seraient pas téléchargées dans l’espoir que ces images seraient utilisées pour la surveillance de masse.

En différenciant les sites Web de médias sociaux des autres « publications », le rapport a noté que :

1. les sites de médias sociaux sont dynamiques, avec des informations ajoutées, modifiées et supprimées en temps réel; et
2. exercent un niveau de contrôle direct sur l’accessibilité du contenu au fil du temps.

De plus, les sources désignées par les lois sur la protection de la vie privée de ce qui est considéré comme « accessible au public » n’incluaient pas les sites Web de médias sociaux.

Objet

Clearview a soutenu que son objectif était approprié « [d]ans les avantages potentiels importants des services de Clearview pour l’application de la loi et la sécurité nationale ». Le rapport a rejeté cet argument, soutenant plutôt que « [d]ans que certains des renseignements recueillis aient finalement été utilisés pour l’application de la loi, le véritable objectif de Clearview pour la collecte est une entreprise commerciale à but lucratif et non l’application de la loi ». De plus, le rapport indiquait que « Clearview ne reconnaît pas: (i) la myriade de cas où des correspondances fausses ou mal appliquées pourraient entraîner une atteinte à la réputation des individus, et (ii) plus fondamentalement, l’affront au droit à la vie privée des individus et le préjudice généralisé infligé à tous les membres de la société, qui se retrouvent sous surveillance de masse continue par Clearview en raison de son grattage et de son traitement aveugles de leurs images faciales ».

Résultats

Le rapport recommande que Clearview cesse d’offrir les services de reconnaissance faciale au Canada, cesse la collecte, l’utilisation et la divulgation des images et des tableaux biométriques du visage recueillis auprès de personnes au Canada, et supprime les images et les réseaux faciaux biométriques recueillis auprès de personnes au Canada. Le rapport indique que Clearview a refusé d’accepter les conclusions et les recommandations, et indique que les commissaires à la protection de la vie privée « prendront d’autres mesures à notre disposition en vertu de nos lois respectives pour rendre Clearview conforme aux lois fédérales et provinciales sur la protection de la vie privée applicables au secteur privé ».

Autres questions

Le rapport a soulevé d’autres préoccupations que les commissaires jugeaient pertinentes, mais sur lesquelles ils ne se prononcent pas spécifiquement :

1. L’efficacité et l’exactitude des technologies de reconnaissance faciale, y compris celle de Clearview et d’autres, sont préoccupées par l’efficacité et l’exactitude des technologies de reconnaissance faciale. Selon le rapport, les technologies de reconnaissance faciale identifient de manière disproportionnée les visages des personnes de couleur, et en particulier des femmes de couleur, par un facteur de 10 à 100 fois, ce qui pourrait entraîner un traitement discriminatoire.
2. Les correspondances faussement positives pourraient présenter un grand risque de préjudice pour les individus, en particulier dans un contexte d’application de la loi.
3. Clearview a reçu des lettres de cessation et d’abstention de Google, Facebook, Twitter et LinkedIn concernant la pratique de Clearview de recueillir des renseignements en violation des conditions de service.
4. Les systèmes de Clearview ont déjà été violés, y compris deux occasions qu’elle a reconnues publiquement: en février 2020 lorsque sa liste de clients a été divulguée et en avril 2020 lorsque son code source et sa vidéo de projet pilote ont été obtenus et partiellement divulgués.

Leçons apprises

Le rapport indiquait qu’une partie de la raison pour laquelle il a publié ses conclusions était de « s’assurer que d’autres organisations bénéficieront de nos conclusions lorsqu’elles envisagent des initiatives qui pourraient partager certaines similitudes avec les pratiques de Clearview ». En d’autres termes, le rapport s’auto-identifie comme un coup de semonce.

Ce rapport devrait être pris en considération en plus du récent rapport du commissaire fédéral à la protection de la vie privée concernant l’utilisation de la technologie de reconnaissance faciale par Cadillac Fairview (voir Utilisation du logiciel de reconnaissance faciale pour l’analyse des clients). Dans le cadre de cette enquête, le commissaire fédéral à la protection de la vie privée s’est également concentré sur la sensibilité inhérente aux données de reconnaissance faciale et sur l’exigence d’un consentement exprès pour recueillir, utiliser ou communiquer ces renseignements.

Les organisations qui recueillent, utilisent ou communiquent des renseignements biométriques, ou qui recueillent, utilisent ou communiquent des renseignements provenant de sources en ligne disparates, devraient tenir compte de la position nouvellement enhardie des commissaires à la protection de la vie privée à l’égard de leur engagement à amener les organisations à se conformer aux lois canadiennes sur la protection de la vie privée.  

Bennett Jones serait heureux de vous aider à naviguer dans le cadre complexe de la législation canadienne sur la protection de la vie privée. Si vous souhaitez en savoir plus, nous vous invitons à contacter les auteurs de cet article ou d’autres membres de notre groupe Privacy & Data Protection.