Des caméras « discrètes » dans les bornes d’information numériques ont capturé 5 millions d’images de clients pour alimenter un logiciel de reconnaissance faciale.
La société Cadillac Fairview a recueilli des images et des données biométriques de ses clients dans 12 centres commerciaux jusqu’en 2018, et cela « à leur insu et sans leur consentement », conclut une enquête conjointe des commissaires à la vie privée de la Colombie-Britannique, de l’Alberta et du Canada.
Les visiteurs n’avaient aucune raison de s’attendre à ce que leur image soit saisie par une caméra discrète ou qu’elle soit utilisée […] à des fins d’analyse
, écrit le commissaire à la protection de la vie privée du Canada, Daniel Therrien, dans un communiqué.
Les commissaires à la vie privée ont commencé leur enquête après un reportage de CBC sur le sujet en 2018.
Cadillac Fairview dit qu’elle a utilisé le logiciel AVA (analyse vidéo anonyme) pour déterminer l’âge et le sexe des visiteurs, mais pas pour les identifier.
Elle explique par ailleurs que des autocollants apposés sur les portes des centres commerciaux informent les visiteurs de sa politique de confidentialité. Elle considère donc que ceux-ci devraient savoir que leur image peut être recueillie et utilisée.
Les commissaires ont jugé que cela ne suffisait pas.
Ils concluent par conséquent que Cadillac Fairview a enfreint la Loi sur la protection de la vie privée.
Les centres commerciaux qui ont utilisé la technologie AVA :
- Market Mall (Alberta)
- Chinook Centre (Alberta)
- Richmond Centre (Colombie-Britannique)
- Pacific Centre (Colombie-Britannique)
- Polo Park (Manitoba)
- Toronto Eaton Centre (Ontario)
- Sherway Gardens (Ontario)
- Lime Ridge (Ontario)
- Fairview Mall (Ontario)
- Markville Mall (Ontario)
- Galeries d’Anjou (Québec)
- Carrefour Laval (Québec)
Le fournisseur de services a conservé les données biométriques
Selon le rapport, quand un client se trouvait dans le champ de vision de la caméra, celle-ci capturait une image de son visage. Cette image était temporairement stockée dans le serveur, le temps d’être convertie en une représentation biométrique numérique
. Cadillac Fairview a utilisé ces représentations biométriques pour déterminer le nombre, l’âge et le sexe de sa clientèle.
L’image était ensuite supprimée, mais pas les renseignements biométriques. Le fournisseur d’AVA stockait ces derniers dans une banque de données centralisée.
Cadillac Fairview a déclaré qu’elle ignorait l’existence de la base de données de renseignements biométriques, ce qui augmentait le risque d’utilisation potentielle par des parties non autorisées ou […] par des individus malveillants
, note le rapport d’enquête.
Les renseignements étaient des séquences de données anonymes, affirme Cadillac Fairview
Une porte-parole de l’entreprise, Jess Savage, insiste sur le fait que les données recueillies n’auraient jamais pu servir à identifier des personnes.
Ce ne sont pas des visages, mais des séquences de chiffres que le logiciel utilise pour catégoriser le sexe et la catégorie d’âge des clients qui passaient dans le champ de la caméra
, déclare-t-elle dans un courriel à CBC.
Elle ajoute que Cadillac Fairview a désactivé les caméras et que toutes les images, les représentations numériques et les données qui y sont associées ont été supprimées
depuis.
Nous prenons les inquiétudes de nos visiteurs au sérieux, et voulions nous assurer que nous y avons répondu
, dit-elle.
Les trois commissaires notent cependant que l’entreprise a refusé de s’engager à obtenir un consentement positif explicite
de ses clients, si elle décide de recommencer à utiliser l’AVA.
Nous trouvons ce refus inquiétant
, écrivent-ils dans leur rapport.
Jess Savage affirme que toutes les recommandations des commissaires ont été acceptées et implantées, à l’exception de celles qui spéculent sur un usage futur hypothétique de technologies similaires
.
Elle précise néanmoins que Cadillac Fairview n’a pas l’intention de réactiver les caméras dans les bornes numériques.
SOURCE: Thomas Daigle et Catharine Tunney