Everalbum règle les réclamations de la FTC alléguant une utilisation trompeuse de la technologie de reconnaissance faciale | Perkins Coie


Le premier règlement du genre suggère que la FTC et d’autres régulateurs examineront la technologie de reconnaissance faciale.

Qu’est-il arrivé?

La Federal Trade Commission (FTC) a annoncé le 11 janvier 2021 qu’elle avait conclu un accord avec Everalbum, Inc., le développeur d’une application de stockage de photos aujourd’hui disparue appelée «Ever». Le règlement est la première mesure d’application de la FTC axée sur la technologie de reconnaissance faciale et signale probablement une nouvelle ère de contrôle réglementaire accru pour les entreprises impliquées dans la reconnaissance faciale. Il prévoit un allégement général, y compris l’exigence sans précédent qu’Everalbum supprime «tous les modèles et algorithmes» basés sur «[b]iométrique [i]nformation ”collectées auprès des utilisateurs de l’application Ever. Le règlement est également susceptible d’inspirer davantage de poursuites privées axées sur la manière dont les entreprises utilisent et décrivent les technologies de reconnaissance faciale.

Contexte. L’application Ever d’Everalbum permettait aux utilisateurs de stocker et d’organiser leurs photos et vidéos numériques en les téléchargeant sur les serveurs cloud d’Ever. Selon la plainte administrative de la FTC, Ever a lancé une nouvelle fonctionnalité – appelée «Amis» – en 2017. La fonctionnalité Amis a utilisé la technologie de reconnaissance faciale pour regrouper les images téléchargées par les utilisateurs en fonction des similitudes entre les visages apparaissant dans les images.

La plainte. L’essentiel de la plainte de la FTC est qu’Everalbum a trompé les utilisateurs sur l’utilisation de la technologie de reconnaissance faciale par l’application Ever et a ainsi violé l’article 5 de la loi sur la Commission fédérale du commerce, qui interdit «les actes ou pratiques trompeurs dans le commerce ou affectant le commerce». Plus précisément, la FTC allègue qu’Everalbum a trompé les utilisateurs en:

  • Promettre de supprimer les images des utilisateurs si les utilisateurs ont désactivé leurs comptes mais, en fait, ont conservé les images associées aux comptes désactivés «indéfiniment» entre 2017 et octobre 2019.
  • Publier un article dans la section «aide» de son site Web suggérant qu’Ever n’appliquerait la technologie de reconnaissance faciale aux images des utilisateurs que si les utilisateurs y consentaient, même si cela n’était vrai que pour certains utilisateurs, parfois.

La deuxième allégation nécessite une explication. Selon la FTC, Everalbum a donné à différents utilisateurs différents niveaux de contrôle sur la technologie de reconnaissance faciale à différents moments en fonction de l’endroit où ils se trouvaient. À partir de mai 2018, les utilisateurs du Texas, de l’Illinois, de Washington et de l’Union européenne ont eu la possibilité d’activer l’utilisation de la technologie de reconnaissance faciale dans l’application Ever et ont également eu la possibilité d’activer et de désactiver la technologie. (Notamment, toutes ces juridictions ont des lois régissant les données biométriques.) En revanche, jusqu’en avril 2019, les utilisateurs en dehors de ces juridictions n’avaient pas la possibilité d’opter pour l’utilisation de la technologie de reconnaissance faciale. Au contraire, la technologie a été «activée» par « default »- et ils n’ont pas pu activer et désactiver la technologie. Ainsi, la FTC a conclu que l’article du centre d’aide d’Everalbum suggérant qu’Everalbum n’utilisait la technologie de reconnaissance faciale qu’avec son consentement était «trompeur pour les utilisateurs de l’application mobile Ever situés en dehors du Texas, de l’Illinois, de Washington et de l’Union européenne» avant avril 2019.

Le règlement. S’il est approuvé par la FTC après une période de commentaires publics, le règlement des parties prévoit la réparation suivante:

  • Il sera interdit à Everalbum de déformer la manière dont il recueille, conserve et utilise les informations personnelles, y compris, mais sans s’y limiter, les informations relatives à la reconnaissance faciale.
  • Everalbum devra obtenir un consentement exprès affirmatif (c’est-à-dire un avis clair et visible et un consentement opt-in) des utilisateurs avant de collecter des «informations biométriques» à certaines fins.
  • Everalbum devra supprimer les photos et les vidéos des utilisateurs de l’application Ever qui ont demandé la désactivation de leurs comptes.
  • Everalbum sera nécessaire pour supprimer les données «imbriquées de visage», c’est-à-dire. . . dérivé en tout ou en partie d’une image du visage d’un individu »- basé sur des images d’utilisateurs Ever qui n’ont pas consenti à la création des images de visage.
  • Everalbum devra supprimer «tous les modèles ou algorithmes» développés à l’aide d’informations biométriques à partir d’images des utilisateurs de l’application Ever.

Le dernier remède est remarquable pour deux raisons. Premièrement, cela semble être sans précédent dans l’histoire des règlements FTC. Bien que les règlements FTC exigent souvent la suppression des données que la FTC prétend avoir été collectées illégalement, c’est la première fois, à notre connaissance, que la FTC demande à une entreprise de supprimer les algorithmes ou tout autre produit de travail incorporant des données qui étaient (prétendument ) collectées de manière incorrecte. Deuxièmement, bien que la plainte de la FTC comprenne des allégations suggérant qu’Everalbum a développé sa technologie de reconnaissance faciale avec des données obtenues de manière incorrecte, elle n’inclut pas de réclamation basée sur ces allégations. Alors que la FTC interdit souvent plus que la conduite prétendument illégale dans ses ordonnances dans le but de «clôturer» un présumé fautif, il est inhabituel qu’une telle conduite «non accusée» soit discutée en détail, voire pas du tout, dans la plainte de la FTC, ou pour qu’il comprenne un élément aussi important du remède.

Le règlement ne comprend aucun allégement monétaire. La FTC n’a pas le pouvoir d’obtenir des sanctions civiles pour les violations de l’article 5, et son autorité pour obtenir une réparation monétaire équitable, telle que la restitution ou la restitution des gains mal acquis, est en cours d’examen par la Cour suprême des États-Unis. Cependant, les violations du règlement, une fois finalisées, peuvent entraîner des sanctions maximales de plus de 43 000 $ par violation.

Déclaration Chopra. Dans une déclaration distincte publiée au même moment où le règlement Everalbum a été annoncé, le commissaire de la FTC, Rohit Chopra, a fait valoir que «[t]La technologie de reconnaissance faciale actuelle d’oday est fondamentalement défectueuse et renforce les préjugés nuisibles », et que« le cas d’Everalbum est une illustration troublante de quelques-uns des problèmes de reconnaissance faciale. » Il a annoncé le règlement pour exiger qu’Everalbum «renonce aux fruits de sa tromperie», c’est-à-dire «des technologies de reconnaissance faciale améliorées par des photos obtenues de manière incorrecte», affirmant que les accords antérieurs de la FTC avec d’autres entreprises permettaient à ces entreprises de «conserver des algorithmes et d’autres technologies. amélioré par des données obtenues illégalement. » Dans le même temps, le commissaire Chopra a qualifié l’absence de sanction pécuniaire du règlement de «malheureuse» et a réitéré son appel à la FTC de «prendre de nouvelles mesures pour déclencher des sanctions, des dommages-intérêts et d’autres mesures de réparation pour les abus de reconnaissance faciale et de protection des données» à l’avenir , par exemple en s’engageant dans une réglementation en vertu de l’article 18 de la loi FTC.

En quoi est-ce important?

Il y a plusieurs points à retenir du règlement Everalbum.

1. Contrôle réglementaire accru. Le règlement indique clairement que la FTC se concentre désormais sur la reconnaissance faciale et, très probablement, sur la technologie basée sur les données biométriques en général. Bien que la FTC ait abordé des problèmes liés à la reconnaissance faciale dans le passé, y compris dans un rapport de 2012, il s’agit de la première mesure d’application de la FTC axée principalement sur la technologie de reconnaissance faciale. Le communiqué de presse annonçant le règlement déclare que ce sera une «haute priorité» pour la FTC de s’assurer que les entreprises «tiennent leurs promesses envers les clients sur la façon dont elles utilisent et traitent les données biométriques». En outre, la nouvelle administration Biden a annoncé son intention de nommer le commissaire Chopra au poste de directeur du Consumer Financial Protection Bureau (CFPB). À la lumière des opinions fortement exprimées par le commissaire Chopra dans cette affaire, il pourrait inciter le CFPB à examiner de près les produits et services financiers destinés aux consommateurs qui intègrent la technologie biométrique.

2. Exigences strictes et larges. Les exigences imposées à Everalbum illustrent de manière frappante les risques potentiels de l’application de la réglementation. Par exemple, comme expliqué ci-dessus, le règlement n’obligerait pas seulement Everalbum à supprimer toutes les données de reconnaissance faciale collectées sans consentement; il faudrait également qu’Everalbum supprime tous les modèles et algorithmes basés sur les données collectées auprès des utilisateurs d’Ever. Pour certaines entreprises, «dérouler» leur utilisation des données de reconnaissance faciale de cette manière pourrait être extrêmement perturbateur et contraignant et pourrait même représenter une menace existentielle pour leurs activités. Tout aussi important, le règlement exigerait qu’Everalbum fournisse un avis et obtienne un consentement avant de collecter et d’utiliser des données biométriques à certaines fins – et cela exigerait qu’Everalbum se conforme à ces exigences partout où la commande s’applique, et pas seulement dans les quelques juridictions qui ont déjà promulgué des lois avec des exigences similaires

3. Large usage de l’autorité de tromperie. L’affaire Everalbum renforce le fait que la FTC utilise souvent son autorité de tromperie dans le domaine de la confidentialité contre une conduite qu’elle juge problématique même lorsqu’il n’y a pas d’intention apparente de tromper, et même lorsque les déclarations prétendument trompeuses n’apparaissent que dans des documents secondaires, tels que les articles du centre d’aide. La FTC a évité d’utiliser son pouvoir d’injustice dans cette affaire, comme elle le fait souvent – peut-être par crainte de ne pas pouvoir démontrer le préjudice requis pour le consommateur. Mais cette restriction peut n’avoir aucune signification pratique en raison de l’utilisation généralisée par l’agence de son pouvoir de tromperie pour adopter une conduite qu’elle juge problématique dans le domaine de la protection de la vie privée.

4. Potentiel pour une application et une réglementation plus étatiques. Le règlement Everalbum encouragera probablement un examen réglementaire accru de la technologie de reconnaissance faciale et d’autres technologies basées sur des données biométriques au niveau de l’État. La plupart des États ont des lois similaires à la section 5 de la loi FTC. Et il est courant que les régulateurs étatiques prennent leurs repères d’application de la FTC. La déclaration distincte du commissaire Chopra encourage également les législatures des États à réglementer plus strictement la biométrie, comme le font l’Illinois, le Texas et Washington. Et cet appel sera probablement entendu. De nombreux États, dont New York, envisagent activement une nouvelle législation pour régir les données biométriques. Et Portland, dans l’Oregon, est récemment devenue la première juridiction à interdire l’utilisation de la technologie de reconnaissance faciale par des entités privées dans les lieux d’hébergement public (à quelques exceptions près).

5. D’autres poursuites pourraient être intentées. Le règlement FTC peut accroître l’exposition des entreprises aux poursuites privées, y compris les recours collectifs. Les plaignants privés peuvent invoquer le règlement FTC pour tenter de soutenir les allégations selon lesquelles les déclarations d’autres entreprises concernant leurs utilisations de la technologie de reconnaissance faciale sont trompeuses, illégales ou injustes en vertu des lois nationales sur la protection des consommateurs et des lois similaires. Le règlement pourrait également figurer dans les litiges actuels et futurs en vertu de l’Illinois Biometric Information Privacy Act (BIPA), qui est la seule loi d’État régissant la confidentialité biométrique qui comprend un droit d’action privé. Le BIPA a déjà engendré près de 900 recours collectifs putatifs ces dernières années. Et, comme indiqué ci-dessus, il est possible que le règlement FTC et les appels du commissaire Chopra pour une réglementation accrue au niveau des États inspirent davantage de juridictions à promulguer une législation régissant spécifiquement les données biométriques, y compris une législation permettant aux parties privées de poursuivre en justice pour violations.

Et après?

La plainte et le règlement de la FTC seront publiés dans le Federal Register et soumis aux commentaires du public pendant 30 jours, après quoi ils seront très probablement approuvés par la FTC.

Qu’est-ce que je devrais faire maintenant?

Toutes les entreprises qui utilisent ou comptent sur la technologie biométrique dans leurs activités devraient consulter un avocat expérimenté pour déterminer l’impact du règlement Everalbum sur elles.

[View source.]

Laisser un commentaire