PimEyes semble avoir récupéré des photos sur un grand site d’ascendance ou d’ancêtres, sans autorisation. Les experts craignent que ces images ne soient utilisées pour identifier des parents vivants.
Découvrir que Taylor Swift était son onzième cousin au deuxième degré n’a pas été la découverte la plus choquante que Cher Scarlett ait faite en explorant l’histoire de sa famille. « Il y a beaucoup de choses bizarres et étranges dans ma famille que nous ne connaîtrions pas sans Ancestry », explique Cher Scarlett, ingénieure en informatique et écrivaine basée à Kirkland, dans l’État de Washington. « Je ne savais même pas qui étaient les grands-parents paternels de ma mère.
Ancestry.com n’est pas le seul site que Scarlett consulte régulièrement. En février 2022, le moteur de recherche par reconnaissance faciale PimEyes a fait apparaître des photos explicites non consenties d’elle à l’âge de 19 ans, ravivant un traumatisme vieux de plusieurs décennies. Elle a tenté de faire retirer les photos de la plateforme, qui utilise des images extraites d’Internet pour créer des « empreintes faciales » biométriques des individus. Depuis, elle surveille le site pour s’assurer que les images ne reviennent pas.
En janvier, elle a remarqué que PimEyes renvoyait des photos d’enfants qui semblaient provenir de l’URL d’Ancestry.com. À titre expérimental, elle a recherché une version en niveaux de gris de l’une de ses propres photos de bébé. Elle a trouvé une photo de sa propre mère, bébé, dans les bras de ses grands-parents, tirée, pensait-elle, d’une vieille photo de famille que sa mère avait postée sur Ancestry.
En cherchant plus loin, Cher Scarlett a trouvé d’autres images de ses proches, provenant elles aussi apparemment du site. Il s’agissait notamment d’une photo en noir et blanc de son arrière-arrière-arrière-grand-mère datant des années 1800, et d’une photo de la propre sœur de Scarlett, décédée à l’âge de 30 ans en 2018. Les images semblaient provenir de son mémorial numérique, d’Ancestry et de Find a Grave (Trouver une tombe), un répertoire de cimetières appartenant à Ancestry.
Selon Cher Scarlett, PimEyes a récupéré des images de personnes décédées pour alimenter sa base de données. En indexant les traits de leur visage, les algorithmes du site peuvent aider ces images à identifier des personnes vivantes grâce à leurs liens ancestraux, ce qui soulève des questions de protection de la vie privée et des données, ainsi que des questions éthiques.
« Ma sœur est morte », explique Cher Scarlett. « Elle ne peut pas consentir ou révoquer son consentement à être enrôlée dans ce projet ».
Katherine Wylie, porte-parole d’Ancestry, explique que les clients du site conservent la propriété et le contrôle de leurs données, y compris de leurs arbres généalogiques, et que ses conditions générales « interdisent de récupérer des données, y compris des photos, sur les sites et les services d’Ancestry, ainsi que de revendre, reproduire ou publier tout contenu ou information trouvé sur Ancestry ».
Giorgi Gobronidze, directeur de PimEyes, explique : « PimEyes n’explore que les sites web qui l’autorisent officiellement à le faire. C’est une nouvelle très désagréable de savoir que nos robots ont en quelque sorte enfreint la règle ». PimEyes bloque désormais le domaine d’Ancestry et les index qui s’y rapportent sont effacés.
La base de données d’Ancestry est la plus importante du secteur en pleine expansion de la généalogie, avec plus de 30 milliards d’enregistrements – y compris des photos et des documents provenant d’archives publiques – couvrant 20 millions de personnes. Les utilisateurs peuvent accéder à ces données pour créer des arbres généalogiques.
Lorsqu’un utilisateur rend public un arbre généalogique sur le site, les photos des personnes décédées peuvent être vues par tout utilisateur enregistré. Les personnes vivantes ne sont pas visibles dans les arbres généalogiques, sauf si les créateurs de l’arbre autorisent des comptes spécifiques à les voir. Les utilisateurs peuvent décider de ce qui est privé ou public sur leurs profils, qui sont consultables dans l’annuaire des membres d’Ancestry.
PimEyes se positionne comme un outil permettant aux gens de surveiller leur présence en ligne. L’entreprise facture aux utilisateurs 20 dollars pour trouver les sites web où leurs photos ont été trouvées, plus de 30 dollars par mois pour des recherches multiples, et 80 dollars pour exclure des photos spécifiques des futurs résultats de recherche.
L’entreprise, qui a déjà parcouru les médias sociaux à la recherche d’images, mais qui affirme désormais qu’elle n’utilise que des sources accessibles au public, a été critiquée pour avoir recueilli des images d’enfants et accusée de faciliter le harcèlement et les abus. (Giorgi Gobronidze, qui a repris PimEyes en janvier 2022, affirme que ces critiques datent d’avant son arrivée chez PimEyes et que les politiques de l’entreprise ont changé depuis).
« Il est clair qu’ils explorent toutes sortes de sites web au hasard », déclare Daniel Leufer, analyste politique principal au sein de l’association de défense des droits numériques Access Now. « Il y a quelque chose de très sinistre, en particulier dans les rubriques nécrologiques.
Les morts ne sont généralement pas protégés par les lois sur la protection de la vie privée, mais le traitement de leur image et de leurs données n’est pas automatiquement équitable, explique Sandra Wachter, professeur de technologie et de réglementation à l’Oxford Internet Institute. « Ce n’est pas parce que les données n’appartiennent plus à une personne que l’on est automatiquement autorisé à les prendre. S’il s’agit d’une personne décédée, nous devons déterminer qui a des droits sur ces données ».
Selon Lilian Edwards, professeur de droit, d’innovation et de société à l’université de Newcastle au Royaume-Uni, la Convention européenne des droits de l’homme a statué que les photos de personnes décédées peuvent avoir un intérêt pour la vie privée des personnes vivantes. Selon elle, l’utilisation de photos de personnes vivantes extraites du web sans leur consentement peut également constituer une violation potentielle du règlement général de l’UE sur la protection des données (RGPD), qui interdit le traitement de données biométriques pour identifier des personnes sans leur consentement.
« Si, d’une manière ou d’une autre, la photo de la personne décédée […] peut conduire à l’identification d’une personne vivante, alors elle pourrait être protégée par le GDPR », explique Lilian Edwards. Elle ajoute qu’il est possible de le faire en associant deux éléments d’information, par exemple une photo de PimEyes et des informations d’Ancestry. PimEyes est disponible en Europe et est donc soumis à la législation.
Cher Scarlett craint que la technologie de PimEyes ne soit utilisée pour identifier des personnes, puis les harceler ou les maltraiter, une préoccupation partagée par les organisations de défense des droits de l’homme. Elle raconte que le nom, l’adresse et le numéro de téléphone de sa mère n’étaient qu’à une recherche d’image inversée et à trois clics de la photo de famille récupérée sur Ancestry.
Bien qu’il se présente comme un outil de protection de la vie privée, peu d’obstacles empêchent les utilisateurs de PimEyes de rechercher n’importe quel visage. Son écran d’accueil n’indique guère qu’il est destiné aux personnes qui ne recherchent qu’elles-mêmes.
Giorgi Gobronidze explique que PimEyes a lancé un « protocole de sécurité en plusieurs étapes » le 9 janvier pour empêcher les gens de rechercher plusieurs visages ou enfants ; les partenaires de PimEyes, cependant, y compris certaines ONG, sont « listés en blanc » pour effectuer des recherches illimitées. PimEyes a jusqu’à présent bloqué 201 comptes, indique Giorgi Gobronidze.
Cependant, une recherche effectuée par le site WIRED sur Scarlett et sa mère – avec leur autorisation – a permis de trouver des correspondances sans aucune contestation. WIRED a également trouvé des preuves de l’existence d’utilisateurs de forums de discussion en ligne abonnés à des demandes d’identification de femmes à partir de photos trouvées en ligne.
Giorgi Gobronidze affirme que le système en est encore au stade de la « formation ».
Dans l’État de Washington, Cher Scarlett a déposé une plainte contre PimEyes auprès du procureur général de l’État et s’est désinscrite en utilisant le formulaire de désinscription, qui promet de supprimer les données des utilisateurs de son système, à deux reprises – une fois en mars 2022 et une autre fois en octobre, après la réapparition de son visage.
La mère de Cher Scarlett s’est également désinscrite en janvier 2023. Cependant, des recherches effectuées par WIRED ont révélé que leurs deux visages étaient toujours affichés par la plateforme le 1er mars.
Mr Gobronidze explique que PimEyes a effacé plus de 22 résultats de Cher Scarlett après sa première demande et 400 après la seconde, et a effectué une recherche à l’aide de la photo avec laquelle elle s’est retirée, sans parvenir à localiser la moindre image d’elle dans sa base de données. Toutefois, si un utilisateur se désinscrit avec une photo spécifique, d’autres images peuvent encore apparaître. Le « moteur de désactivation ne fonctionnera pas toujours avec une efficacité de 100 % », a déclaré M. Gobronidze.
L’examen juridique s’intensifie pour les entreprises d’IA qui alimentent leurs bases de données en parcourant le web à la recherche de visages. Clearview AI, une société qui vend principalement des services de reconnaissance faciale aux forces de l’ordre, fait l’objet d’une action collective dans l’Illinois et se voit infliger des amendes pour avoir enfreint les lois sur la protection des données dans toute l’Europe, y compris au Royaume-Uni, où l’Information Commissioner’s Office (ICO), un organisme de surveillance indépendant, a ordonné à la société de supprimer toutes les données relatives aux résidents. Clearview a nié toute faute et a fait valoir qu’elle ne devrait être soumise ni aux lois européennes sur la protection des données ni à la juridiction de l’ICO.
En novembre, le groupe de défense des droits Big Brother Watch, basé au Royaume-Uni, a déposé une plainte contre PimEyes auprès de l’ICO pour « traitement illégal » des données des personnes. Le commissaire d’État allemand à la protection des données a ouvert une procédure contre le site pour traitement de données biométriques. M. Gobronidze affirme que l’entreprise a « soumis de manière proactive » des informations à l’ICO.
Giorgi Gobronidze précise qu’il est « absolument impossible » d’établir des identités à l’aide de sa base de données. « Nous recueillons des données d’indexation, qui relient les photographies non pas à des individus humains, mais aux adresses URL qui publient ces photographies ». PimEyes indique qu’il indexe les photos mais ne stocke pas les images elles-mêmes. M. Gobronidze ajoute que PimEyes ne traite pas les photos pour établir des identités, mais pour trouver des adresses de sites web. « PimEyes n’identifie pas les êtres humains, mais seulement les URL », a-t-il déclaré.
Daniel Leufer, quant à lui, affirme que PimEyes « permet et facilite considérablement le processus d’identification des personnes » sur la base de photos. « Je pense qu’il a raison de dire que PimEyes ne vous donnera pas directement l’identité de cette personne par l’intermédiaire de son site web, mais vous n’êtes qu’à un clic d’un site web sur lequel figure son nom », explique-t-il. « Il vous donnera une foule d’URL qui, dans de nombreux cas, vous permettront d’identifier cette personne ».
Cher Scarlett craint que ces liens n’exposent des familles entières à des violations de la vie privée.
« J’ai utilisé [Ancestry] pour ce qu’il est censé faire : découvrir mes origines. C’était vraiment passionnant jusqu’à ce que ça ne le soit plus », explique-t-elle. « Personne ne télécharge des photos dans Ancestry en pensant qu’elles seront enregistrées dans un identifiant biométrique pour un logiciel de reconnaissance faciale à son insu ou sans son consentement… C’est une véritable violation des droits de l’homme. »
https://www.wired.com/story/a-face-recognition-site-crawled-the-web-for-dead-peoples-photos/
https://edition.cnn.com/2022/05/24/tech/cher-scarlett-facial-recognition-trauma/index.html
https://theintercept.com/2022/07/16/facial-recognition-search-children-photos-privacy-pimeyes/
https://hudoc.echr.coe.int/fre#{%22tabview%22:[%22document%22],%22itemid%22:[%22001-212150%22]}
https://gdpr-info.eu/art-9-gdpr/
