La Gendarmerie royale du Canada (GRC) a violé la Loi sur la protection des renseignements personnels en utilisant près de 500 fois le logiciel de reconnaissance faciale de Clearview AI, dont la base de données a été « compilée illégalement », conclut une enquête du commissaire à la protection de la vie privée du Canada.

Les conclusions du rapport, très sévère à l’égard du corps policier fédéral, soulignent que la GRC a menti au sujet de son utilisation de cette technologie controversée.

Clearview AI est une société de surveillance établie aux États-Unis, qui a créé un puissant outil de reconnaissance faciale en téléchargeant illégalement plus de 3 milliards d’images de personnes sur Facebook, Twitter et d’autres réseaux sociaux.

L’entreprise fait actuellement l’objet de différentes demandes d’action collective, dont une au Québec. La Presse a réussi à mettre la main sur le dossier détenu par Clearview AI au sujet de l’auteur de ces lignes, à la suite d’une demande d’accès à l’information soumise à l’entreprise en vertu des lois québécoise et canadienne de protection des renseignements personnels. Après qu'on lui a soumis trois photos sans même lui fournir de nom, Clearview a associé le visage de l’auteur de ces lignes à une dizaine d’images tirées de l’internet, dont une qui semble avoir été captée par une caméra de surveillance.

CAPTURE D’ÉCRAN

Un aperçu du dossier détenu par Clearview AI au sujet de notre journaliste Tristan Péloquin.

Comme tous les logiciels de reconnaissance faciale, celui de Clearview AI est plus susceptible de faire des erreurs d’identification avec les personnes « appartenant à certains genres et groupes raciaux », souligne le rapport d’enquête du commissaire à la protection de la vie privée, particulièrement les Noirs, les Asiatiques et les femmes en général, ont révélé plusieurs enquêtes scientifiques publiées dans des revues spécialisées ces dernières années.

521 recherches

Le commissaire à la protection de la vie privée du Canada et ses homologues provinciaux avaient lancé une enquête sur Clearview en février 2020, à la suite de nombreux reportages médiatiques publiés au Canada. Un premier rapport a conclu, en février, que Clearview avait fait de la « surveillance de masse » illégale. La technologie de Clearview a fait en sorte que « des milliards de personnes se sont retrouvées tous les jours, 24 heures sur 24, dans une parade d’identification policière », estime le commissaire.

L’enquête s’est parallèlement penchée sur l’utilisation faite par la GRC de cet outil. Le corps policier a dans un premier temps affirmé, à tort, qu’il n’utilisait pas les services de Clearview, avant de reconnaître qu’il s’en était servi 78 fois, dont 19 utilisations faites par le Centre national contre l’exploitation d’enfants pour identifier des victimes, et une quinzaine d’utilisations pour tenter de localiser des suspects qui échappaient à la police.

Or, l’enquête a révélé que la GRC a en réalité fait 521 recherches avec Clearview AI. « Pour environ 85 % des recherches, la GRC n’est pas en mesure d’en rendre compte de manière satisfaisante », déplore le commissaire Daniel Therrien.

Les politiques et les systèmes de la GRC comportent « des lacunes graves et systémiques » au chapitre du contrôle des renseignements personnels, souligne son rapport.

La GRC a répliqué au commissaire en lui affirmant qu’exiger qu’elle s’assure de la conformité des pratiques de ses partenaires commerciaux à la Loi sur la protection des renseignements personnels lui imposerait « une obligation déraisonnable ».

« Nous demeurons préoccupés par le fait que la GRC n’a pas souscrit à notre conclusion », martèle le commissaire. Le corps policier a néanmoins accepté de mettre en œuvre ses recommandations pour améliorer ses politiques.

Le rapport demande au Parlement canadien de modifier la loi pour préciser que la GRC est « tenue de s’assurer que les tiers auprès desquels elle recueille des renseignements personnels ont agi conformément à la loi ».

« La vie privée n’est rien de moins qu’une condition préalable à la liberté : la liberté de vivre et de se développer de façon autonome, à l’abri de la surveillance de l’État ou d’entreprises commerciales », insiste le commissaire.

Comment obtenir son dossier auprès de Clearview AI ?

Même si elle affirme avoir abandonné le marché canadien depuis que son logiciel a été qualifié d’outil de « surveillance de masse » par le commissaire à la protection de la vie privée, la société américaine Clearview AI n’en reste pas moins soumise aux différentes lois sur la protection des renseignements personnels en vigueur au Canada. La Presse est parvenue à obtenir le dossier d’un de ses journalistes en fournissant simplement trois photos de son visage à l’adresse privacy-requests@clearview.ai, accompagnées du texte suivant :

Hi,

This is a Request to information under the Canadian Personal Information Protection and Electronic Documents Act and the Province of Quebec Act Respecting The Protection Of Personal Information In The Private Sector.

I’m a Canadian citizen residing in the Province of Quebec. Recently the Privacy Commissionner of Canada stated that Clearview AI proceeded to « Unlawful Practices that represented mass surveillance of Canadians ».

I wish to obtain, within the next 10 days, the complete file that Clearview Ai possesses on me, including but not limited to all the digital images, videos or text you may have. I joined three pictures of myself to help you find the related data.

Best regards,

Il est possible de demander la destruction du dossier une fois qu’il a été transmis. Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a cependant émis des réserves quant au processus de demande d’accès à l’information, puisqu’il n’y a aucune certitude que les photos fournies pour la demande sont protégées adéquatement par Clearview AI.