Reconnaissance faciale : la GRC a violé la loi, dit le commissaire à la vie privée
L'utilisation de banques de données biométriques constituées de façon illégale contrevient aux lois canadiennes sur la protection de la vie privée.
Photo : Getty Images / izusek
Prenez note que cet article publié en 2021 pourrait contenir des informations qui ne sont plus à jour.
Dans un rapport d’enquête déposé jeudi au Parlement, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, affirme que l'utilisation par la GRC du logiciel controversé de reconnaissance faciale Clearview AI constitue une « violation grave » des droits des Canadiens.
Selon le commissaire Therrien, l'utilisation de la technologie de reconnaissance faciale par la GRC pour effectuer des recherches dans d’énormes dépôts de données de Canadiens qui sont innocents de tout soupçon de crime présente une grave violation de la vie privée
.
L’an dernier, le quotidien américain The New York Times a révélé que la firme américaine Clearview AI, qui offre des services de reconnaissance faciale notamment aux corps policiers, avait extrait plus de trois milliards de photos de sites Internet publics comme Facebook et Instagram. Les photos de nombreux enfants ont également été collectées par ce même procédé.
La firme a ensuite constitué une gigantesque base de données photographique qu’elle met à la disposition de ses clients (corps policiers, agences gouvernementales, institutions bancaires, etc.) pour identifier des personnes à partir de leurs données biométriques.
Or, la constitution d’une telle banque de photos sans le consentement explicite des personnes qui y figurent est contraire aux lois canadiennes, ont statué les autorités de protection de la vie privée d'au moins trois provinces, dont le Québec, l’Alberta et la Colombie-Britannique. Daniel Therrien partage également cette analyse.
Une institution gouvernementale ne peut pas collecter des informations personnelles auprès d'un agent tiers si celui-ci a collecté ces informations de manière illégale.
Plus de 600 corps policiers et organismes d'application de la loi ont eu recours aux services de Clearview AI en Amérique du Nord et ailleurs. Au Canada, 48 corps de police y auraient eu accès, dont la GRC qui a admis avoir acheté au moins deux licences en octobre 2019. La police fédérale a, plus tard, cessé l’utilisation de cette base de données à la demande du commissaire à la protection de la vie privée du Canada.
Bien que la GRC ait cessé d’utiliser Clearview AI, le commissaire Therrien demeure néanmoins préoccupé par le fait que le corps de police ne partage pas ses conclusions selon lesquelles ce logiciel de reconnaissance faciale contrevient à la Loi sur la protection des renseignements personnels.
Le commissaire s'interroge particulièrement sur l'attitude du corps policier qui lui a répondu à l'époque que la vérification de la légalité de la provenance des données constituait une obligation déraisonnable
et que la loi n'impose pas expressément l'obligation de confirmer le fondement juridique de la collecte de renseignements personnels par ses partenaires du secteur privé
.
Nous sommes préoccupés du fait que la GRC veuille abdiquer sa responsabilité de respecter le droit à la vie privée des Canadiens en se contentant d’accepter les affirmations générales d’une entreprise privée sans aucune tentative de validation.
Surveillance de masse
Le 3 février dernier, dans un rapport d'enquête conjoint, Daniel Therrien et ses homologues du Québec, de l'Alberta et de la Colombie-Britannique avaient déjà conclu que les services que proposait la société technologique américaine Clearview AI constituaient de la surveillance de masse en violation directe du droit à la vie privée des Canadiens.
Le fait que cette immense banque de données soit gérée par une entreprise privée qui peut offrir ses produits à quiconque en paie le prix pose également un problème de taille, notamment en matière de sécurité. Selon The New York Times, de richissimes personnalités auraient d'ailleurs déjà utilisé Clearview AI comme un jouet, pour leur plaisir personnel.
Les bases de données obtenues au moyen de la technologie de reconnaissance faciale constituent des cibles fort intéressantes pour les personnes malveillantes et doivent être protégées en conséquence.
Cette enquête du commissaire fédéral à la protection de la vie privée a été ouverte à la suite d’une plainte déposée à son bureau concernant une possible violation de la Loi sur la protection des renseignements personnels par la GRC au sujet de l’utilisation de Clearview AI par la police fédérale.
Le 6 juillet 2020, le commissaire à la protection de la vie privée du Canada a par ailleurs annoncé que Clearview AI avait cessé d'offrir son service de reconnaissance faciale au Canada, à la suite du déclenchement de son enquête.
La technologie de reconnaissance faciale entraîne la collecte et le traitement de renseignements personnels très sensibles. Les données biométriques du visage sont propres à chaque individu, peu susceptibles de varier de manière significative au fil du temps, et difficiles à modifier dans leurs particularités
, souligne Daniel Therrien.
Il ajoute que, jumelée à des sources contenant de vastes quantités de données, comme Internet, les banques de données gouvernementales ou la télévision en circuit fermé, cette technologie peut constituer un puissant outil de renseignements et de suivi
.
Dans son rapport, Daniel Therrien constate l'absence de systèmes appropriés à la GRC pour suivre, identifier, évaluer et contrôler la provenance des renseignements personnels récoltés. Le commissaire à la protection de la vie privée recommande par conséquent que la GRC améliore ses politiques, ses systèmes et sa formation au cours de l'année qui vient pour atteindre ces objectifs, ce qu'elle a accepté de faire.
