Pourquoi Facebook ferme son ancien système de reconnaissance faciale n’a pas d’importance

Lundi matin, Meta – la société anciennement connue sous le nom de Facebook – a annoncé qu’elle fermerait « le système de reconnaissance faciale sur Facebook », une technologie qui soulève des alarmes de confidentialité depuis ses débuts. Dans un article de blog, la société a décrit cette décision comme « l’un des plus grands changements dans l’utilisation de la reconnaissance faciale dans l’histoire de la technologie ». Sur Twitter, le CTO sortant Mike Schroepfer et le nouveau CTO Andrew Bosworth, qui supervisaient auparavant la division de réalité virtuelle Oculus de Facebook, ont qualifié l’annonce de «Grave« et un »décision très importante. » La Fondation Electronic Frontier réputé c’est « un témoignage de tout le travail acharné que les activistes ont fait pour repousser cette technologie invasive ».

Mais un examen des politiques de confidentialité de Meta et de Facebook en matière de réalité virtuelle, ainsi que les réponses de l’entreprise à une liste détaillée de questions à leur sujet, suggèrent que la technologie d’identification faciale de l’entreprise ne va nulle part. Et ce n’est qu’une des nombreuses méthodes invasives de collecte de données qui peuvent arriver à un métavers près de chez vous. (Divulgation: Dans une vie antérieure, j’ai occupé des postes politiques chez Facebook et Spotify.)

L’annonce récente de Facebook de la fermeture de son système controversé de reconnaissance faciale intervient à un moment difficile pour l’entreprise, qui fait face à un examen réglementaire important après des années de mauvaise presse récemment enflammée par un lanceur d’alerte de haut niveau.

Mais le moment peut aussi être opportun. L’entreprise se tourne vers la réalité virtuelle, une technologie qui, par nécessité, collecte une énorme quantité de données sur ses utilisateurs. À partir de ces données, Meta aura la capacité de créer des systèmes d’identification et de surveillance au moins aussi puissants que le système qu’il met au pâturage. Ce n’est pas parce qu’il peut créer ces systèmes qu’il le fera. Pour le moment, cependant, la société laisse ses options ouvertes.

Le fait est que Meta a l’intention de collecter des informations uniques et identifiantes sur les visages de ses utilisateurs. La semaine dernière, le fondateur de Facebook, Mark Zuckerberg, a déclaré à Ben Thompson de Stratechery que « l’une des grandes nouvelles fonctionnalités » du nouveau casque Cambria de Meta « concerne le suivi oculaire et le suivi du visage ». Et bien que la plate-forme ait « désactivé le service » qui créait précédemment des profils faciaux d’utilisateurs de Facebook, le New York Times a rapporté que la société conservait l’algorithme sur lequel ce service s’appuyait. Un porte-parole de Meta a refusé de répondre aux questions de BuzzFeed News sur la façon dont cet algorithme reste utilisé aujourd’hui.

Meta a peut-être fermé le système de reconnaissance faciale sur Facebook qui a soulevé tant de préoccupations, mais étant donné qu’il a l’intention de conserver l’algorithme qui alimentait ce système, il n’y a aucune raison pour que l’entreprise ne puisse pas « simplement le réactiver plus tard », selon David Brody, avocat principal au Lawyers’ Committee for Civil Rights Under Law.

Pendant ce temps, les politiques de confidentialité actuelles de Meta pour les appareils VR laissent beaucoup de place à la collecte de données personnelles et biologiques qui vont au-delà du visage d’un utilisateur. Comme l’a noté Katitza Rodriguez, directrice des politiques pour la protection de la vie privée mondiale à l’Electronic Frontier Foundation, le libellé est « suffisamment large pour englober un large éventail de flux de données potentiels – qui, même s’ils ne sont pas collectés aujourd’hui, pourraient commencer à être collectés demain sans nécessairement en informer les utilisateurs, obtenir un consentement supplémentaire ou modifier la politique ».

Par nécessité, le matériel de réalité virtuelle recueille des données fondamentalement différentes sur ses utilisateurs que les plateformes de médias sociaux. Les casques VR peuvent apprendre à reconnaître la voix d’un utilisateur, ses veines ou l’ombrage de son iris, ou à capturer des mesures telles que la fréquence cardiaque, la fréquence respiratoire et ce qui provoque la dilatation de leurs pupilles. Facebook a déposé des brevets concernant bon nombre de ces types de collecte de données, y compris celui qui utiliserait des choses comme votre visage, votre voix ou même votre ADN pour verrouiller et déverrouiller des appareils. Un autre considérerait les « données de poids, de force, de pression, de fréquence cardiaque, de fréquence de pression ou d’EEG » d’un utilisateur pour créer un avatar VR. Les brevets sont souvent ambitieux – couvrant des cas d’utilisation potentiels qui ne se produisent jamais – mais ils peuvent parfois offrir un aperçu des plans futurs d’une entreprise.

Les politiques de confidentialité VR actuelles de Meta ne spécifient pas tous les types de données qu’elle collecte sur ses utilisateurs. Les paramètres de confidentialité d’Oculus, la politique de confidentialité d’Oculus et la politique de données supplémentaire d’Oculus, qui régissent les offres de réalité virtuelle actuelles de Meta, fournissent des informations sur les grandes catégories de données collectées par les appareils Oculus. Mais ils spécifient tous que leurs champs de données (des choses comme « la position de votre casque, la vitesse de votre contrôleur et les changements d’orientation comme lorsque vous bougez la tête ») sont juste examples dans ces catégories, plutôt qu’une énumération complète de leur contenu.

Les exemples donnés ne traduisent pas non plus l’étendue des catégories qu’ils sont censés représenter. Par exemple, la politique de confidentialité d’Oculus stipule que Meta collecte « des informations sur votre environnement, vos mouvements physiques et vos dimensions lorsque vous utilisez un appareil XR ». Il fournit ensuite deux exemples d’une telle collecte: des informations sur votre aire de jeu VR et « des informations techniques telles que la taille estimée de votre main et le mouvement de votre main ».

Mais « des informations sur votre environnement, vos mouvements physiques et vos dimensions » pourraient décrire des points de données bien au-delà de la taille estimée de la main et de la limite du jeu – elles pourraient également inclure des mesures de réaction involontaires, comme un flinch, ou des mouvements d’identification unique, comme un sourire.

Meta a refusé à deux reprises de détailler les types de données que ses appareils collectent aujourd’hui et les types de données qu’il prévoit de collecter à l’avenir. Il a également refusé de dire s’il recueille actuellement ou prévoit de collecter des informations biométriques telles que la fréquence cardiaque, la fréquence respiratoire, la dilatation de la pupille, la reconnaissance de l’iris, l’identification vocale, la reconnaissance veineuse, les mouvements faciaux ou la reconnaissance faciale. Au lieu de cela, il a souligné les politiques liées ci-dessus, ajoutant que « les casques Oculus VR ne traitent actuellement pas les données biométriques telles que définies par la loi applicable ». Un porte-parole de l’entreprise a refusé de préciser quelles lois Meta considère comme applicables. Cependant, quelque 24 heures après la publication de cette histoire, la société nous a dit qu’elle ne collectait pas « actuellement » les types de données détaillés ci-dessus, ni n’utilisait « actuellement » la reconnaissance faciale dans ses appareils VR.

Meta a toutefois offert des informations supplémentaires sur la façon dont elle utilise les données personnelles dans la publicité. Les Conditions d’utilisation supplémentaires d’Oculus indiquent que Meta peut utiliser des informations sur les « actions » [users] ont pris des produits Oculus  » pour leur proposer des publicités et du contenu sponsorisé. Selon la façon dont Oculus définit « l’action », ce langage pourrait lui permettre de cibler les publicités en fonction de ce qui nous fait sauter de la peur, ou fait battre notre cœur ou nos mains en sueur.

Mais au moins pour le moment, Meta ne ciblera pas les publicités de cette façon. Au lieu de cela, un porte-parole a déclaré à BuzzFeed News que la société utilisait une définition plus étroite des « actions » – une définition qui n’inclut pas les données de mouvement collectées par l’appareil VR d’un utilisateur.

Dans un document de 2020 intitulé « Principes d’innovation responsable », Facebook Reality Labs décrit son approche du métavers. Le premier de ces principes, « Ne surprenez jamais les gens », commence ainsi : « Nous sommes transparents sur le fonctionnement de nos produits et sur les données qu’ils collectent. » Répondant aux questions de BuzzFeed News, Meta a déclaré qu’il serait franc sur tout changement futur, s’il se présentait, sur la façon dont il collectera et utilisera nos données.

Sans une meilleure clarté sur les données que Meta collecte aujourd’hui, « les clients ne peuvent pas faire un choix éclairé sur quand et comment utiliser leurs produits », a déclaré Brody à BuzzFeed News. Plus précisément, il est difficile pour le public de comprendre les changements futurs que Meta pourrait apporter à la façon dont il collecte et utilise nos données s’il n’est jamais expliqué exactement ce qu’il fait maintenant.

Brittan Heller, avocate au cabinet d’avocats Foley Hoag et experte en droits de l’homme et en réalité virtuelle, l’a dit différemment : « L’industrie de la réalité virtuelle est en quelque sorte dans une phase de ‘huit boules magiques’ en ce moment. En ce qui concerne les questions sur la confidentialité et la sécurité, la réponse qui flotte dit: « Perspectives incertaines: demandez à nouveau plus tard.