Alors que la technologie de reconnaissance faciale se développe, les organisations sont confrontées à des problèmes de confidentialité et de cybersécurité, ainsi qu’à des fraudes | Jackson Lewis PC

La technologie de reconnaissance faciale est devenue de plus en plus populaire ces dernières années dans l’espace de l’emploi et de la consommation (par exemple, accès des employés, systèmes d’enregistrement des passeports, paiements sur smartphones), et en particulier pendant la pandémie de COVID-19. Au fur et à mesure que le besoin s’est fait sentir de dépister les personnes entrant dans un établissement pour les symptômes du virus, y compris la température, des caméras thermiques, des kiosques et d’autres appareils dotés de capacités de reconnaissance faciale ont été mis en service. Cependant, beaucoup se sont opposés à l’utilisation de cette technologie sous sa forme actuelle, citant des problèmes d’exactitude de la technologie, et maintenant, plus alarmant, on craint de plus en plus que « les visages sont la prochaine cible des fraudeurs », comme le résume un récent rapport article dans le Wall Street Journal (« WSJ »).

Au cours de la dernière année, il y a eu une légère augmentation du nombre de pirates informatiques essayant de «tromper» la technologie de reconnaissance faciale, dans une myriade de contextes, tels que la demande frauduleuse d’allocations de chômage auprès des agences de main-d’œuvre de l’État. manière de vérifier aux citoyens éligibles, assez ironiquement, afin de prévenir d’autres types de fraude. Comme indiqué dans l’article du WSJ, la société ID.me.Inc. qui fournit un logiciel de reconnaissance faciale à 26 États pour aider à vérifier les personnes éligibles aux allocations de chômage a connu entre juin 2020 et janvier 2021 plus de 80 000 tentatives pour tromper les systèmes de reconnaissance faciale d’identification du gouvernement. Les pirates de systèmes de reconnaissance faciale utilisent une myriade de techniques, notamment des deepfakes (images générées par l’IA), des masques spéciaux ou même des images ou des vidéos de la personne que le pirate cherche à se faire passer.

La fraude n’est pas le seul problème avec la technologie de reconnaissance faciale. Malgré son attrait pour les employeurs et les organisations, il existe des inquiétudes concernant l’exactitude de la technologie, ainsi que des implications juridiques importantes à considérer. Premièrement, il y a des inquiétudes croissantes concernant l’exactitude et les biais de la technologie. Un rapport récent du National Institute of Standards and Technology a étudié 189 algorithmes de reconnaissance faciale, ce qui est considéré comme la « majorité de l’industrie ». Le rapport a révélé que la plupart des algorithmes présentent un biais, identifiant à tort les visages asiatiques et noirs 10 à plus de 100 fois plus que les visages blancs. De plus, les faux positifs sont significativement plus fréquents chez les femmes que chez les hommes et plus élevés chez les personnes âgées et les enfants que chez les adultes d’âge moyen.

En outre, plusieurs localités américaines ont déjà interdit l’utilisation de la reconnaissance faciale pour les forces de l’ordre, d’autres agences gouvernementales et/ou un usage privé et commercial. La ville de Baltimore, par exemple, a récemment interdit l’utilisation des technologies de reconnaissance faciale par les résidents de la ville, les entreprises et la plupart des administrations municipales (à l’exception du service de police de la ville) jusqu’en décembre 2022. Le projet de loi 21-0001 du Conseil interdit aux personnes « d’obtenir, conserver, accéder ou utiliser certaines technologies de surveillance faciale ou toute information obtenue à partir de certaines technologies de surveillance faciale. De même, en septembre 2020, la ville de Portland dans l’Oregon est devenue la première ville des États-Unis à interdire l’utilisation des technologies de reconnaissance faciale dans le secteur privé, citant, entre autres, un manque de normes pour la technologie et de larges gammes de précision et taux d’erreur qui diffèrent selon la race et le sexe. Le non-respect peut être douloureux. L’ordonnance fournit aux personnes lésées par une violation substantielle une cause d’action en dommages-intérêts ou 1 000 $ par jour pour chaque jour de violation, selon le montant le plus élevé.

Et enfin, les entreprises qui cherchent à mettre en œuvre des technologies de reconnaissance faciale doivent tenir compte de leurs obligations en vertu de lois telles que le Biometric Information Privacy Act (BIPA) de l’Illinois et le California Consumer Privacy Act (CCPA). Le BIPA traite de la collecte de données biométriques d’une entreprise auprès des clients et des employés, y compris par exemple la reconnaissance faciale, les empreintes digitales et les empreintes vocales. Le BIPA exige un consentement éclairé avant la collecte de données biométriques, impose des obligations de protection et des directives de conservation, et crée un droit d’action privé pour les personnes lésées par des violations du BIPA, ce qui a entraîné un flot de recours collectifs BIPA ces dernières années. Le Texas, Washington et la Californie ont également des exigences similaires, New York envisage un projet de loi sur la confidentialité de type BIPA et NYC a récemment créé des exigences de type BIPA pour les entreprises de vente au détail et d’accueil concernant la collecte biométrique des clients. De plus, les États modifient de plus en plus leurs lois sur la notification des violations pour ajouter des informations biométriques aux catégories d’informations personnelles qui nécessitent une notification, y compris les modifications de 2020 en Californie, DC et Vermont. De plus, il existe une myriade de destructions de données, de garanties raisonnables et d’exigences des fournisseurs à prendre en compte, selon l’état, lors de la collecte de données biométriques.

Emporter

La reconnaissance faciale et d’autres technologies liées aux données biométriques sont en plein essor et continuent d’infiltrer différentes facettes de la vie qu’il est même difficile d’envisager. La technologie apporte d’innombrables avantages potentiels ainsi que des risques importants pour la confidentialité des données et la cybersécurité. Les organisations qui collectent, utilisent et stockent des données biométriques sont de plus en plus confrontées à des obligations de conformité alors que la loi tente de suivre le rythme de la technologie, des crimes de cybersécurité et de la sensibilisation du public à la confidentialité et à la sécurité des données. La création d’un programme solide de confidentialité et de protection des données ou la révision régulière d’un programme existant est une étape critique de la gestion des risques et de la conformité légale.