SafeAI Pro

Technologie de reconnaissance faciale : le cas Kmart

Par Katya Kamlovskaya
alphabétisation en IA reconnaissance faciale

Aujourd’hui, j’ai lu le rapport d’enquête sur Kmart en Australie, un géant de la vente au détail qui a utilisé la technologie de reconnaissance faciale (TRF) sur TOUS les clients pendant 2 ans sans leur consentement. Que se passe-t-il lorsque de nobles intentions se heurtent à un manque de gouvernance appropriée ?

Est-ce que cela s’est déjà produit ?

Oui ! En 2024, Bunnings, une grande chaîne de magasins de bricolage, a également été surprise en train d’utiliser la TRF dans ses magasins, la même histoire - des raisons différentes. Pour Bunnings, il s’agissait de prévenir l’agression des clients envers le personnel. La direction du magasin a été priée de publier une explication sur le fonctionnement exact de la technologie - ce qu’ils ont fait.

Explication de la reconnaissance faciale de Bunnings (Source : https://www.bunnings.com.au/about-us/facial-recognition-technology)

Kmart a utilisé la technologie pour tenter de lutter contre la fraude au remboursement - des choses comme le retour d’articles volés ou l’échange de codes-barres, un problème sérieux : rien qu’aux États-Unis, environ 15 % des retours impliquaient une forme de fraude en 2024, coûtant des milliards.

Pourquoi la commissaire à la protection de la vie privée a-t-elle jugé que ce n’était pas acceptable ?

Malgré les bonnes raisons qui ont motivé la décision de déployer la technologie, la commissaire à la protection de la vie privée a jugé que Kmart avait enfreint la loi sur la protection de la vie privée (en Australie, il n’y a pas de législation spécifique à l’IA, donc les lois existantes sont appliquées). « Ce n’est pas parce qu’une technologie peut être utile ou pratique que son utilisation est justifiable », a-t-elle déclaré, soulevant le sujet de la proportionnalité : l’avantage de l’utilisation d’une technologie doit clairement et massivement l’emporter sur les risques pour la vie privée qu’elle pose. Les « empreintes faciales » que le magasin a collectées, même si elles n’ont pas été stockées plus d’une seconde, ont été utilisées pour la correspondance, ce qui transforme une photo d’information personnelle en information sensible - une distinction très importante.

Le système scannait toutes les personnes qui entraient, collectant des données biométriques de centaines de milliers de personnes, et pas seulement des quelques mauvais acteurs. Mais il n’était pas très bon dans son travail : le montant de la fraude évitée était infime par rapport au problème global. Le risque massif pour la vie privée de chaque client n’était pas compensé par les avantages très limités.

Il est important de noter que l’entreprise n’a jamais correctement exploré d’alternatives moins invasives pour la vie privée, comme une meilleure formation du personnel ou des politiques de retour plus strictes. La commissaire a souligné que l’entreprise n’avait pas besoin de trouver une alternative qui soit également efficace pour prévenir la fraude. Au lieu de cela, ils devaient simplement montrer qu’ils avaient correctement examiné et rejeté d’autres méthodes moins invasives pour la vie privée. L’entreprise n’a pas réussi à le faire.

Enfin, bien que l’entreprise ait affiché un avis « mis à jour » sur les conditions d’entrée à l’entrée du magasin, indiquant que le magasin disposait d’une « surveillance par vidéosurveillance 24 heures sur 24, qui comprend la technologie de reconnaissance faciale », de nombreux magasins utilisaient la technologie depuis des mois avant que cet avis ne soit affiché, ce qui signifie qu’un grand nombre de clients n’étaient pas au courant de l’utilisation de la technologie lorsqu’ils sont entrés. La politique de confidentialité, qui était en vigueur depuis plus d’un an après le début du projet pilote, ne mentionnait pas du tout la reconnaissance faciale.

Il ne s’agit pas de faire honte aux entreprises. Ni Bunnings ni Kmart n’ont été condamnés à une amende. C’est un rappel pour toutes les organisations : la transparence, la nécessité et la proportionnalité sont les considérations clés lors du déploiement de systèmes de reconnaissance faciale comme celui-ci.

Qu’en pensez-vous ? Les entreprises devraient-elles avoir le droit d’utiliser la TRF pour protéger leur activité, même si cela a un impact sur la vie privée de chaque client ?