La Chine permet désormais aux citoyens de refuser la reconnaissance faciale privée. Est-ce que votre pays ?
Ce n’est un secret pour personne que l’utilisation par la Chine de la technologie de reconnaissance faciale (FRT) est la plus invasive au monde. Dans notre analyse récente de la façon dont 100 pays utilisent le FRT , la Chine a obtenu le pire score en termes d'utilisation de la technologie la plus répandue.
Mais récemment, la Cour suprême chinoise a donné aux citoyens le droit de droit de refuser Utilisation du FRT par des entreprises privées, notamment des banques, des hôtels et des discothèques. L’arrêt, que la Cour suprême s’est empressée d’exécuter parce qu’elle « ne pouvait plus attendre », garantit que le consentement éclairé et volontaire des entreprises privées qui souhaitent utiliser le FRT est obtenu.
Cela en fait une affaire historique, plaçant la Chine de la tête et des épaules au-dessus des États-Unis, du Royaume-Uni, du Canada et de l’Australie lorsqu’il s’agit de protéger la vie privée des citoyens contre l’utilisation du FRT dans les entreprises privées.
Non seulement il s’agit d’un cas remarquable car il vient d’un pays réputé pour ne pas tenir compte de la vie privée de ses citoyens, mais il place la Chine au sein d’un groupe d’élite (et incroyablement petit) de pays qui ont des décisions/législations spécifiques entourant l’utilisation du FRT à des fins commerciales. entreprises privées. Alors que le FRT croît à un rythme exponentiel, de nombreux pays ne parviennent pas à suivre le rythme grâce à leur législation. Ainsi, même si certaines protections de la vie privée peuvent être assurées par le biais du RGPD, comme le RGPD, l’absence de législation spécifique et explicite autour de l’utilisation de la reconnaissance faciale signifie qu’il existe des lacunes et des failles qui peuvent être exploitées.
Pour savoir dans quelle mesure la nouvelle décision de la Chine se démarque des autres pays, nous avons étudié les 25 premiers pays (en termes de PIB) pour voir quelles sont, le cas échéant, leurs législations et décisions de justice.
(Veuillez noter : la Thaïlande est en train d'introduire une loi sur la protection des données qui garantirait que le consentement explicite soit demandé lors de l'utilisation de données sensibles (y compris la biométrie), mais les retards persistants rendent cela flou pour le moment).
La Chine n'est que l'un des six pays à régir le FRT dans les entreprises privées
Sur les 25 pays que nous avons couverts, seuls six pays disposent de lois/règles explicites concernant l'utilisation du FRT dans un cadre privé. Il s'agit de la Chine, du Brésil, de l'Espagne, des Pays-Bas, de la Suède et de la Belgique. La Belgique interdit catégoriquement l'utilisation du FRT, tandis que l'Espagne restreint sévèrement son utilisation (en général, il n'a aucune base légale, sauf dans des circonstances extrêmes, par exemple pour les infrastructures critiques). Les autres règlent qu’un consentement explicite est requis (consentement éclairé et opt-in). Mais dans le cas de la Suède, cela n’est nécessaire que si la technologie est utilisée pour identifier des personnes. S’il est utilisé de manière anonyme (il s’agit d’un cas où les mouvements des visiteurs étaient surveillés mais où les images faciales étaient stockées/analysées), le consentement n’est pas requis. Cela rend la décision suédoise moins protectrice de la vie privée que les autres décisions de cette catégorie.
La France et l'Allemagne bénéficient également de certaines orientations de la part de leurs autorités compétentes en matière de protection des données, statuant qu'un consentement éclairé et volontaire est nécessaire.
À l’opposé, sept pays ne parviennent pas à assurer une protection adéquate aux citoyens en matière de FRT, car ils ne disposent pas de lois claires et n’exigent pas explicitement le consentement. Il s’agit des États-Unis, de l’Arabie Saoudite, de la Thaïlande, de Taiwan, de l’Indonésie, du Canada et de l’Inde.
Aux États-Unis, seule une poignée d'États/villes ont interdit le FRT (dont le Maine, le Massachusetts et les villes de Minneapolis et San Francisco), mais sans décision fédérale ni orientation sur son utilisation, cela laisse chaque État libre de se prononcer sur le FRT. comme il le souhaite. Au Canada, il est actuellement possible de recueillir et de partager des images faciales à des fins d'identification sans consentement. La Loi sur la protection de la vie privée omet également d’inclure ou de définir les informations faciales et biométriques.
Certains autres pays se situent entre les deux extrêmes mentionnés ci-dessus, avec une législation/des orientations générales sur la protection des données qui peuvent aider à limiter l'utilisation du FRT dans un cadre privé. Par exemple, les lois et recommandations de l’UE peuvent entrer en vigueur en Suisse, en Allemagne, en Pologne et en Italie, garantissant ainsi l’obtention d’un consentement éclairé et volontaire. Mais comme la législation locale ne parvient pas à interpréter/appliquer ces actions, il existe un manque de clarté dans ces domaines.
Six autres pays exigent un consentement éclairé et opt-out, ce qui signifie qu'un panneau affichant l'utilisation du FRT à la porte d'un magasin, par exemple, peut suffire. C’est le cas au Mexique, au Japon, en Turquie, en Corée du Sud, en Australie et au Royaume-Uni.
En Australie, par exemple, une chaîne de magasins de proximité, 7-Eleven, lancé la reconnaissance faciale dans ses 700 magasins pour confirmer les notes dans son application. Une pancarte sur laquelle on peut lire : « Le site est sous surveillance vidéo constante. En entrant dans le magasin, vous consentez à ce que des caméras de reconnaissance faciale capturent et stockent votre image », a été jugé suffisant par les avocats du magasin. Mais au Royaume-Uni, une utilisation apparemment plus invasive de la technologie a été mise en œuvre au sein du supermarché Co-op. Il reconnaissance faciale installée discrètement dans 18 de ses magasins du sud pour lutter contre le vol à l'étalage. Le système, Facewatch, scanne les visages des acheteurs par rapport à une base de données de suspects d’intérêt. Si quelqu'un est « reconnu », il lui est alors demandé de quitter le magasin. L'entreprise a déclaré que des panneaux clairs étaient en place afin de se conformer à la législation en vigueur.
Comment les entreprises obtiennent-elles un consentement éclairé et opt-in ?
Les exemples ci-dessus sont probablement considérés comme le moyen le plus simple et le plus clair d’obtenir le consentement des gens. Un panneau à l'entrée de la porte avertit les visiteurs de la technologie utilisée et, s'ils entrent en sachant que le FRT est en place, ils donnent leur consentement.
Cependant, il s’agit d’un consentement éclairé et opt-out (le visiteur ne donne pas explicitement son consentement au moyen d’un document signé qui lui est remis sur une tablette avant d’entrer dans le magasin, par exemple) et s’accompagne d’un grand nombre de problèmes de confidentialité.
Premièrement, les panneaux peuvent être clairement visibles par les personnes entrant dans le magasin, mais ajoutez une foule, une rue animée, des gens se précipitant pour faire des courses, et peut-on garantir que chaque visiteur a vu ou s'est arrêté pour lire le panneau ? Non.
Deuxièmement, la technologie peut être installée à l’entrée des magasins. Ainsi, si un client se rend au magasin, remarque le panneau, n’y consent pas et s’en va, son image a peut-être déjà été capturée.
Troisièmement, le magasin ne donne aucune option aux clients. S’ils souhaitent utiliser le magasin, ils doivent y consentir. Cela supprime l’élément donné « librement » et « explicitement » que certaines lois exigent en matière de consentement.
Le processus complexe que les entreprises devraient suivre pour obtenir le consentement explique peut-être pourquoi il existe peu d’exemples dans les pays exigeant un consentement éclairé et volontaire strict. Devoir obliger tous les clients à signer un formulaire de consentement pour entrer dans le magasin prendrait du temps, serait coûteux et peut-être rebutant. Et c’est avant même qu’ils aient envisagé ce qui se passerait si un visiteur refusait son consentement (comment supprimeraient-ils leur image des caméras tout en conservant les images de ceux qui ont consenti ?).
Mais dans les pays où les lois sont plus souples et où le consentement à la non-participation est jugé suffisamment adéquat, le FRT dans les lieux publics, et en particulier dans les supermarchés, semble croître à un rythme alarmant.
Essentiellement, en exigeant légalement un consentement éclairé et volontaire, les pays restreignent sévèrement l’utilisation du FRT dans des contextes privés tout en renforçant considérablement la protection de la vie privée des citoyens. Et le fait que la Chine soit désormais à l’avant-garde de ces protections devrait être un signe clair pour tous les autres pays utilisant le FRT et qui n’ont pas mis de telles mesures en place, qu’ils doivent agir rapidement.
Méthodologie
En utilisant les 25 premiers pays en termes de PIB, nous avons recherché les législations et décisions pertinentes concernant l'utilisation de la technologie de reconnaissance faciale dans des contextes privés. Ces lois/décisions peuvent s'appliquer ou non aux gouvernements ou aux organismes chargés de l'application de la loi et/ou des règles distinctes peuvent s'appliquer à ceux-ci. Ceci n’a pas été abordé dans cette recherche.
En outre, de nombreux pays ont des dispositions dans leur législation qui donnent aux gouvernements et aux organismes d'application de la loi le droit d'utiliser le FRT en cas de sécurité publique et dans d'autres circonstances similaires. Dans ce type de cas, les agences gouvernementales peuvent être en mesure d'ignorer les exigences en matière de confidentialité dans les entreprises privées si elles peuvent prouver que cela est dans l'intérêt de la sécurité publique. Encore une fois, cela dépasse le cadre de notre recherche.
Pour une liste complète des sources et de la législation, veuillez visitez ici .
Chercheur de données :Rebecca Moody