Skip to content
L’ICO du Royaume-Uni met en garde contre la menace de surveillance des « grandes données » de la reconnaissance faciale en direct en public – TechCrunch


Le principal régulateur britannique de la protection des données a mis en garde contre l’utilisation imprudente et inappropriée de la reconnaissance faciale en direct (LFR) dans les lieux publics.

En publiant aujourd’hui un avis sur l’utilisation de cette surveillance biométrique en public – pour définir ce que l’on appelle les “règles d’engagement” – la commissaire à l’information, Elizabeth Denham, a également noté qu’un certain nombre d’enquêtes déjà entreprises par son bureau sur des applications prévues de la technologie ont trouvé des problèmes dans tous les cas.

« Je suis profondément préoccupé par le potentiel d’utilisation de la technologie de reconnaissance faciale en direct (LFR) de manière inappropriée, excessive ou même imprudente. Lorsque des données personnelles sensibles sont collectées à grande échelle à l’insu des personnes, sans choix ou contrôle, les impacts pourraient être importants », a-t-elle averti dans un article de blog.

« Les utilisations que nous avons vues comprenaient la résolution des problèmes de sécurité publique et la création de profils biométriques pour cibler les personnes avec des publicités personnalisées.

«Il est révélateur qu’aucune des organisations impliquées dans nos enquêtes terminées n’ait été en mesure de justifier pleinement le traitement et, parmi les systèmes qui ont été mis en service, aucun n’était pleinement conforme aux exigences de la loi sur la protection des données. Toutes les organisations ont choisi d’arrêter, ou de ne pas continuer, l’utilisation du LFR.

« Contrairement à la vidéosurveillance, LFR et ses algorithmes peuvent automatiquement identifier qui vous êtes et déduire des détails sensibles vous concernant. Il peut être utilisé pour vous profiler instantanément pour diffuser des publicités personnalisées ou faire correspondre votre image à des voleurs à l’étalage connus pendant que vous faites votre épicerie hebdomadaire », a ajouté Denham.

« À l’avenir, il est possible de superposer les caméras de vidéosurveillance avec le LFR, et même de le combiner avec des données de médias sociaux ou d’autres systèmes de « grandes données » – LFR est un CCTV suralimenté. »

L’utilisation de technologies biométriques pour identifier les individus à distance suscite des préoccupations majeures en matière de droits humains, notamment en ce qui concerne la vie privée et le risque de discrimination.

Partout en Europe, il existe des campagnes – telles que Reclaim your Face – appelant à l’interdiction de la surveillance biométrique de masse.

Dans le cadre d’une autre action ciblée, en mai dernier, Privacy International et d’autres ont déposé des recours juridiques contre la société américaine controversée de reconnaissance faciale Clearview AI, cherchant à l’empêcher complètement d’opérer en Europe. (Certaines forces de police régionales ont fait appel à eux – y compris en Suède, où la force a été condamnée à une amende par la DPA nationale plus tôt cette année pour utilisation illégale de la technologie.)

Bien qu’il existe une opposition publique majeure à la surveillance biométrique en Europe, les législateurs de la région ont jusqu’à présent – ​​au mieux – manipulé les contours de la question controversée.

Un règlement paneuropéen que la Commission européenne a présenté en avril, qui propose un cadre fondé sur les risques pour les applications de l’intelligence artificielle, n’incluait qu’une interdiction partielle de l’utilisation par les forces de l’ordre de la surveillance biométrique dans les lieux publics — avec de nombreuses exemptions qui ont attiré de nombreuses critique.

Des députés de tous les horizons politiques ont également appelé à une interdiction totale de l’utilisation de technologies telles que la reconnaissance faciale en direct en public. Le contrôleur en chef de la protection des données de l’UE a également exhorté les législateurs à interdire au moins temporairement l’utilisation de la surveillance biométrique en public.

Le règlement prévu par l’UE sur l’IA ne s’appliquera en aucun cas au Royaume-Uni, car le pays est désormais en dehors du bloc. Et il reste à voir si le gouvernement britannique cherchera à affaiblir le régime national de protection des données.

Un rapport récent qu’il a commandé pour examiner comment le Royaume-Uni pourrait réviser son régime réglementaire, après le Brexit, a – par exemple – suggéré de remplacer le RGPD britannique par un nouveau « cadre britannique » – proposant des changements pour « libérer des données pour l’innovation et dans le l’intérêt public”, comme il le dit, et plaidant pour des révisions pour l’IA et les “secteurs de croissance”. Ainsi, la question de savoir si le régime de protection des données du Royaume-Uni sera incendié dans un feu de joie post-Brexit de « paperasserie » est une préoccupation majeure pour les observateurs des droits.

(Le Groupe de travail sur l’innovation, la croissance et la réforme de la réglementation Le rapport préconise, par exemple, la suppression complète de l’article 22 du RGPD – qui donne aux personnes le droit de ne pas être soumises à des décisions fondées uniquement sur un traitement automatisé – suggérant qu’il soit remplacé par « un accent » sur « si le profilage automatisé rencontre un ou test d’intérêt public », avec des orientations sur celles envisagées comme provenant du Bureau du Commissaire à l’information (ICO). Mais il faut aussi noter que le gouvernement est en train d’embaucher le successeur de Denham ; et le ministre du numérique a déclaré qu’il souhaitait que son remplaçant adopte “une nouvelle approche audacieuse” qui “ne considère plus les données comme une menace, mais comme la grande opportunité de notre temps”. Alors, euh, adieu l’équité, la responsabilité et la transparence ?)

Pour l’instant, ceux qui cherchent à mettre en œuvre la LFR au Royaume-Uni doivent se conformer aux dispositions de la loi britannique sur la protection des données de 2018 et du règlement général britannique sur la protection des données (c’est-à-dire sa mise en œuvre du RGPD de l’UE qui a été transposé dans le droit national avant le Brexit), conformément au Avis de l’ICO, y compris les principes de protection des données énoncés dans l’article 5 du RGPD britannique, y compris la légalité, l’équité, la transparence, la limitation de la finalité, la minimisation des données, la limitation du stockage, la sécurité et la responsabilité.

Les contrôleurs doivent également permettre aux individus d’exercer leurs droits, a-t-il déclaré.

« Les organisations devront démontrer des normes élevées de gouvernance et de responsabilité dès le départ, y compris être en mesure de justifier que l’utilisation de la LFR est juste, nécessaire et proportionnée dans chaque contexte spécifique dans lequel elle est déployée. Ils doivent démontrer que les techniques moins intrusives ne fonctionneront pas », a écrit Denham. « Ce sont des normes importantes qui nécessitent une évaluation solide.

« Les organisations devront également comprendre et évaluer les risques liés à l’utilisation d’une technologie potentiellement intrusive et son impact sur la vie privée et la vie des personnes. Par exemple, comment les problèmes d’exactitude et de partialité pourraient conduire à une erreur d’identification et aux dommages ou préjudices qui en découlent. »

Le moment de la publication de l’avis de l’ICO sur le LFR est intéressant à la lumière des préoccupations plus larges concernant l’orientation des déplacements du Royaume-Uni en matière de protection des données et de la vie privée.

Si, par exemple, le gouvernement a l’intention de recruter une nouvelle ICO «plus souple» – qui se fera un plaisir de déchirer le règlement sur la protection des données et l’IA, y compris dans des domaines comme la surveillance biométrique – il sera au moins assez gênant pour eux de le faire. donc avec un avis du commissaire précédent sur le dossier public qui détaille les dangers d’une utilisation imprudente et inappropriée du LFR.

Certes, le prochain commissaire à l’information ne pourra pas dire qu’il n’a pas été clairement averti que les données biométriques sont particulièrement sensibles – et peuvent être utilisé pour estimer ou déduire d’autres caractéristiques, telles que l’âge, le sexe, le sexe ou l’origine ethnique.

Ou que les tribunaux « grands britanniques » ont précédemment conclu que « comme les empreintes digitales et l’ADN [a facial biometric template] sont des informations à caractère « intrinsèquement privé » », comme le note l’avis de l’ICO, tout en soulignant que le LFR peut provoquer la récolte de ces données super sensibles sans même que la personne en question s’en rende compte.

L’opinion de Denham insiste également sur la nécessité de la confiance du public pour que toute technologie réussisse, avertissant que : « Te public doit avoir confiance que son utilisation est légale, équitable, transparente et qu’elle respecte les autres normes énoncées dans la législation sur la protection des données.

L’ICO a déjà publié un avis sur l’utilisation du LFR par les forces de police – qui, selon elle, fixe également « un seuil élevé pour son utilisation ». (Et quelques forces de police britanniques – dont le Met à Londres – ont été parmi les premiers à adopter la technologie de reconnaissance faciale, ce qui a à son tour conduit certains dans l’eau chaude juridique sur des questions comme les préjugés.)

Décevant, cependant, pour les défenseurs des droits de l’homme, l’opinion de l’OIC hésite à recommander une interdiction totale de l’utilisation de la surveillance biométrique en public par des entreprises privées ou des organisations publiques – le commissaire faisant valoir que même s’il existe des risques avec l’utilisation de la technologie, il pourrait également être des cas où il a une grande utilité (comme dans la recherche d’un enfant disparu).

“Ce n’est pas mon rôle d’approuver ou d’interdire une technologie mais, alors que cette technologie se développe et n’est pas largement déployée, nous avons la possibilité de nous assurer qu’elle ne se développe pas sans tenir dûment compte de la protection des données”, a-t-elle écrit, affirmant plutôt que dans son vue « la protection des données et la vie privée des personnes doivent être au cœur de toute décision de déploiement de LFR ».

Denham a ajouté que la loi britannique (actuelle) « place la barre haute pour justifier l’utilisation de LFR et de ses algorithmes dans les endroits où nous faisons nos achats, socialisons ou nous rassemblons ».

“Avec toute nouvelle technologie, renforcer la confiance du public dans la manière dont les informations des gens sont utilisées est crucial afin que les avantages dérivés de la technologie puissent être pleinement réalisés”, a-t-elle réitéré, notant comment le manque de confiance aux États-Unis a conduit à certaines villes. interdisant l’utilisation du LFR dans certains contextes et a conduit certaines entreprises à suspendre leurs services jusqu’à ce que les règles soient plus claires », a-t-elle également averti. « Sans confiance, les avantages que la technologie peut offrir sont perdus. »

Il y a une ligne rouge que le gouvernement britannique oublie peut-être dans sa hâte inconvenante de vider (potentiellement) le régime britannique de protection des données au nom d’une « innovation » spécieuse. Parce que s’il essaie, euh, de « libérer » les règles nationales de protection des données des principes fondamentaux de l’UE (de licéité, d’équité, de proportionnalité, de transparence, de responsabilité, etc.) la Commission européenne à déchirer un accord d’adéquation des données UE-Royaume-Uni (sur lequel le l’encre sèche encore).

Le Royaume-Uni ayant un accord sur l’adéquation des données de l’UE dépend du fait que le Royaume-Uni dispose de protections essentiellement équivalentes pour les données des personnes. Sans ce statut convoité d’adéquation des données, les entreprises britanniques seront immédiatement confrontées à des obstacles juridiques beaucoup plus importants pour traiter les données des citoyens de l’UE (comme les États-Unis le font maintenant, à la suite de la disparition de Safe Harbor et du Privacy Shield). Il pourrait même y avoir des situations où les agences de protection des données de l’UE ordonnent la suspension totale des flux de données UE-Royaume-Uni…

De toute évidence, un tel scénario serait terrible pour les entreprises et «l’innovation» britanniques – avant même de considérer la question plus large de la confiance du public dans les technologies et de savoir si le grand public britannique lui-même veut voir ses droits à la vie privée incendiés.

Compte tenu de tout cela, vous devez vraiment vous demander si quelqu’un au sein du gouvernement britannique a bien réfléchi à cette «réforme réglementaire». Pour l’instant, l’ICO est au moins encore capable de penser à leur place.





Source link