La quête de légitimité sur les réseaux sociaux professionnels pousse de nombreux internautes à convoiter le fameux badge bleu sur LinkedIn. Dans un océan de faux recruteurs et de profils générés par l'intelligence artificielle, prouver son identité semble être une démarche judicieuse. La procédure est d'une simplicité désarmante, un scan du passeport, un selfie, et en trois minutes, le tour est joué. Une enquête approfondie sur les conditions d'utilisation et la politique de confidentialité révèle cependant une réalité bien plus complexe et opaque.
Lorsqu'un utilisateur clique sur le bouton de vérification, ses données ne sont pas transmises à LinkedIn, mais à une entreprise tierce nommée Persona Identities, Inc., basée à San Francisco. La plateforme professionnelle n'est que le client. L'utilisateur, lui, est le sujet scanné et analysé. Pour une simple vérification d'identité, la quantité d'informations collectées est vertigineuse. Outre les données classiques telles que le nom complet, la photo du passeport et les données de la puce NFC, Persona extrait votre géométrie faciale. Ces données biométriques sont croisées entre la photo officielle et le selfie. Plus surprenant encore, le système analyse des biométries comportementales, comme le temps d'hésitation lors de la procédure ou l'utilisation de la fonction copier-coller.
La collecte ne s'arrête pas là. L'entreprise recoupe ces informations avec un réseau mondial de bases de données, incluant des registres gouvernementaux, des agences de crédit et des opérateurs téléphoniques. Plus inquiétant, la politique de confidentialité indique que Persona utilise ces documents d'identité pour entraîner ses propres modèles d'intelligence artificielle. Sous le couvert de l'intérêt légitime (contournant ainsi le besoin d'un consentement explicite), les passeports européens nourrissent des algorithmes d'apprentissage automatique destinés à améliorer leurs services.
La liste des sous-traitants ayant accès à ces données dresse un tableau alarmant de la souveraineté numérique. Sur dix-sept entreprises impliquées dans le traitement, seize sont situées aux États-Unis et une au Canada. Zéro dans l'Union Européenne. Des sociétés spécialisées dans l'IA comme Anthropic, OpenAI et Groqcloud se chargent de l'extraction des données, tandis que l'infrastructure d'Amazon (AWS) gère le traitement des images.
Bien que Persona affirme stocker certaines données en Allemagne, son statut d'entreprise californienne la soumet au CLOUD Act américain. Cette loi de 2018 permet aux forces de l'ordre des États-Unis d'exiger leur accès, indépendamment de l'emplacement physique des serveurs. Une requête pour des raisons de sécurité nationale pourrait contraindre l'entreprise à livrer des données biométriques européennes sous le sceau du secret. Le récent cadre de protection des données UE-États-Unis, censé rassurer l'Europe, offre une sécurité juridique fragile, susceptible d'être révoquée par une simple décision présidentielle.
La géométrie faciale n'est pas un mot de passe que l'on peut réinitialiser. Pourtant, en cas de compromission de ces données hautement sensibles, les conditions d'utilisation de Persona limitent leur responsabilité financière à la somme dérisoire de 50 dollars. De plus, les utilisateurs renoncent à tout recours collectif devant un tribunal, se soumettant à un arbitrage obligatoire dicté par le droit américain.
Pour les professionnels ayant déjà franchi le pas, les experts en protection des données recommandent d'exercer leurs droits liés au RGPD. Il est possible d'exiger la suppression de ces informations auprès de Persona, la vérification étant déjà actée sur LinkedIn, et de s'opposer formellement à l'utilisation de ses documents pour l'entraînement d'IA. Au final, cette procédure soulève une question fondamentale: l'obtention d'un simple badge cosmétique sur un réseau social justifie-t-elle de céder la cartographie mathématique de son visage à une juridiction étrangère ?
Commentaires