Du code lié à la reconnaissance faciale, présenté comme non activé et non publié, a été repéré dans une application d’IA associée à Meta.
La découverte, rapportée par des observateurs techniques et commentée par des défenseurs des libertés numériques, ravive une question récurrente, jusqu’où une plateforme grand public peut-elle aller dans l’analyse biométrique sans information claire, sans consentement explicite et sans cadre de contrôle robuste. Dans un contexte où les systèmes d’identification par le visage sont déjà utilisés par des acteurs publics et privés, l’existence même de briques logicielles prêtes à l’emploi suffit à alimenter des craintes de déploiement rapide, au gré d’une mise à jour, d’un changement de politique ou d’une évolution commerciale.
Meta intègre des modules biométriques dans une application IA
Les éléments repérés renvoient à des fonctions typiques d’une chaîne de biométrie, détection de visage, extraction d’empreintes, comparaison et gestion d’un score de similarité. Dans l’industrie, ces composants sont souvent intégrés en amont pour tester des performances, réduire la latence, ou préparer des fonctionnalités futures. Sur une application d’IA générative destinée au grand public, la présence de tels modules attire l’attention car elle suggère des scénarios d’usage concrets, identification d’une personne sur une photo, regroupement automatique d’images, vérification d’identité, ou personnalisation avancée.
Sur le plan technique, les défenseurs de la vie privée rappellent qu’un module non activé n’est pas synonyme d’absence de risque. Une fonction peut rester dormante tout en étant intégrée au produit, et être activée plus tard par un simple drapeau côté serveur, une mise à jour applicative ou une modification de configuration. Dans les environnements modernes, le déploiement progressif, souvent appelé “feature rollout”, permet d’activer une nouveauté pour un petit pourcentage d’utilisateurs, puis d’élargir rapidement. Cette mécanique, banale pour des changements d’interface, devient sensible lorsqu’elle touche à des données biométriques.
Les critiques pointent aussi la question de la finalité. Une application d’IA qui permet de générer, retoucher ou organiser des images peut être tentée d’ajouter des fonctions d’indexation des visages pour améliorer l’expérience utilisateur. Or l’indexation faciale transforme des photos ordinaires en données à caractère hautement sensible, parce qu’elle crée une possibilité d’identification, de suivi et de corrélation. La différence entre “reconnaître un visage dans une photo” et “reconnaître une personne” dépend souvent de détails d’implémentation, par exemple l’existence d’un référentiel de visages, d’un identifiant stable, ou d’une liaison avec un compte.
Dans les échanges publics, Meta renvoie généralement à ses politiques internes et à des usages encadrés, par exemple l’accessibilité, la lutte contre l’usurpation d’identité, ou des fonctions de suggestion. Le problème, soulignent des associations, tient à l’asymétrie d’information, l’utilisateur ne voit pas les bibliothèques, ne lit pas toujours les politiques, et ne mesure pas la portée d’un identifiant biométrique. Dans ce contexte, la découverte de code non publié agit comme un signal, l’architecture semble prête pour des usages plus ambitieux que ceux explicitement décrits dans l’interface.
Les défenseurs des libertés numériques redoutent un déploiement discret
Les organisations de protection des droits numériques insistent sur un point, la reconnaissance faciale n’est pas une fonctionnalité comme une autre. Elle touche à l’identité, au consentement et au risque d’erreurs. Une mauvaise correspondance peut entraîner des conséquences concrètes, suspicion injustifiée, blocage de compte, signalement abusif. Les études académiques et audits publics ont, depuis des années, mis en avant des écarts de performance selon l’âge, le genre ou la couleur de peau, même si les modèles récents affichent des progrès. Pour des défenseurs, la question n’est pas seulement l’exactitude moyenne, mais la gestion des cas limites et l’existence de recours.
Ils redoutent surtout un déploiement discret, parce que l’économie des plateformes repose sur des mises à jour fréquentes et des tests en conditions réelles. Une activation progressive, combinée à une communication minimale, peut conduire à une adoption de fait avant que le débat public n’ait lieu. Dans un environnement où les utilisateurs acceptent des conditions d’utilisation longues et évolutives, la frontière entre consentement éclairé et consentement formel devient floue. Le risque, selon ces acteurs, est de normaliser la biométrie par petites touches, d’abord pour “taguer” des visages, puis pour vérifier une identité, puis pour recommander des contenus ou filtrer des accès.
Le débat porte aussi sur la tentation de relier la biométrie à des signaux comportementaux. Une application d’IA peut déjà traiter des images, des voix, des textes, et associer ces entrées à un compte. Si un identifiant facial est ajouté, même localement, il peut faciliter des corrélations, par exemple relier des images provenant de sources différentes, détecter des réapparitions d’une personne, ou identifier des proches. Les défenseurs rappellent que la valeur commerciale d’un tel graphe de relations est élevée, ce qui renforce l’exigence de transparence.
Un autre motif d’inquiétude concerne l’accès aux données par des tiers. Même si une entreprise affirme ne pas “vendre” de données biométriques, les échanges peuvent passer par d’autres canaux, sous-traitants techniques, services cloud, prestataires de modération, ou obligations légales. Dans plusieurs pays, les autorités peuvent demander des informations dans le cadre d’enquêtes. Les associations demandent donc des garanties concrètes, minimisation des données, traitement sur l’appareil, chiffrement, journalisation des accès, et publication de rapports de transparence spécifiques aux demandes portant sur la biométrie.
Enfin, ces acteurs rappellent que le simple fait de disposer d’une capacité de reconnaissance faciale peut avoir un effet dissuasif sur l’expression. Des utilisateurs peuvent renoncer à publier des photos, à participer à des événements, ou à apparaître dans des contenus publics s’ils estiment que leur visage peut être indexé. Cette dimension “climat de surveillance” est difficile à quantifier, mais elle est centrale dans les critiques adressées aux technologies biométriques déployées à grande échelle.
Les politiques de Meta sur la reconnaissance faciale alimentent le débat
La discussion se nourrit des choix passés des grandes plateformes. Meta a déjà été associée à des fonctions de reconnaissance faciale, notamment pour des suggestions d’identification sur des photos et des mécanismes de détection de comptes frauduleux. Dans plusieurs juridictions, ces usages ont été contestés, conduisant à des ajustements, des désactivations par défaut, ou des changements de politique. Pour les critiques, cette histoire pèse sur la crédibilité des assurances actuelles, car elle montre que les fonctionnalités biométriques peuvent être lancées, étendues, puis retirées sous pression, sans que le public ait eu une vision complète des tests initiaux.
Les politiques internes, souvent présentées sous forme de pages d’aide, décrivent généralement des finalités comme la sécurité, l’accessibilité ou la prévention des abus. Le point de friction tient à la précision des engagements. Un texte qui indique que la reconnaissance faciale peut être utilisée “dans certains cas” ou “pour certaines fonctionnalités” laisse une marge d’interprétation. Les défenseurs demandent des engagements vérifiables, par exemple une liste exhaustive des fonctionnalités, l’indication des données exactes traitées, la durée de conservation, et la séparation stricte entre des modèles d’IA entraînés et des gabarits biométriques individuels.
La question de l’opt-in est centrale. En matière de biométrie, plusieurs régulateurs et experts estiment que le consentement devrait être explicite, spécifique et révocable. Dans la pratique, beaucoup d’utilisateurs découvrent l’existence de paramètres après coup, ou ne comprennent pas que la désactivation d’une option ne supprime pas nécessairement des données déjà dérivées. Les associations demandent des écrans de consentement dédiés, une explication simple des risques, et un bouton unique permettant de supprimer les gabarits et historiques liés au visage.
Les politiques doivent aussi clarifier la différence entre reconnaissance faciale “locale” et “serveur”. Un traitement effectué sur l’appareil, sans transfert, réduit certains risques mais n’en supprime pas d’autres, comme l’accès par un logiciel malveillant ou la réutilisation ultérieure. Un traitement côté serveur, lui, ouvre des enjeux de conservation, d’accès interne, et de réutilisation pour l’entraînement. Sur ce point, les critiques réclament des informations auditées, pas seulement déclaratives, car l’architecture technique conditionne le niveau de risque réel.
Enfin, le débat se déplace vers l’IA générative. Une application qui transforme des images peut, par conception, analyser finement les visages pour des retouches, des filtres ou des avatars. Les défenseurs craignent une porosité entre l’analyse nécessaire pour l’édition et l’analyse utilisée pour l’identification. La frontière dépend de choix d’ingénierie, par exemple stocker des points de repère faciaux temporaires ou créer des représentations persistantes. Sans documentation claire, le public ne peut pas distinguer l’optimisation technique d’une préparation à des usages d’identification.
Le projet de loi C-27 au Canada laisse des zones grises sur l’IA
Au Canada, les inquiétudes s’inscrivent dans un contexte législatif en évolution. Le projet de loi C-27, déposé à la Chambre des communes en juin 2022, regroupe notamment la Loi sur l’intelligence artificielle et les données et des modifications relatives à la protection des renseignements personnels dans le secteur privé. Des experts soulignent que, si le texte était adopté dans sa forme discutée publiquement, il renforcerait certains pouvoirs d’application de la loi fédérale sur la vie privée pour le secteur privé, avec la possibilité d’ordonnances. Mais la gouvernance de l’IA et la répartition des responsabilités restent un point de débat.
Un élément relevé par des observateurs tient au fait que la loi proposée sur l’IA viserait les systèmes à “incidence élevée”, avec des exigences de gestion des risques. Dans les discussions publiques, il a été noté que le commissaire à la protection de la vie privée ne serait pas nécessairement l’autorité chargée de l’application de cette loi, la responsabilité pouvant revenir au ministre de l’Industrie ou à un ministre désigné, avec la possibilité de nommer un commissaire à l’IA. Pour les défenseurs des droits, cette architecture peut créer des frictions, ou des délais, lorsqu’un dossier touche à la fois à la biométrie, à la sécurité et à la vie privée.
Autre point sensible, l’absence d’exigence explicite, dans certaines versions discutées, d’évaluations des facteurs relatifs à la vie privée pour les systèmes d’IA. Des intervenants, dont des spécialistes de la régulation, demandent que des évaluations soient obligatoires avant déploiement, puis réitérées lorsque l’usage change, par exemple lors d’une nouvelle fonctionnalité ou d’un changement de finalité. Dans le cas d’une application grand public, un simple ajout de module de reconnaissance faciale pourrait modifier radicalement l’incidence sur les personnes, sans que l’utilisateur ne perçoive immédiatement l’ampleur du changement.
Le Canada a aussi été marqué par des débats sur l’usage de la technologie de reconnaissance faciale dans l’application de la loi, avec des références fréquentes à des organismes comme la GRC ou des services de police municipaux. Les rapports et auditions parlementaires ont mis en avant les avantages opérationnels, identification de suspects, recherche de personnes disparues, mais aussi les risques, erreurs, biais, manque de transparence, et effets sur les libertés civiles. Ce contexte rend l’opinion publique plus attentive dès qu’une grande entreprise technologique semble préparer une fonctionnalité biométrique.
Pour les juristes, la question clé est de savoir si les obligations futures couvriront les plateformes mondiales, dont les décisions techniques sont prises ailleurs mais dont les services touchent des millions de Canadiens. La conformité dépendra de la capacité à contrôler les flux de données, à imposer des audits, et à sanctionner en cas de manquement. Dans un dossier où du code “non publié” est repéré, la difficulté tient à la temporalité, le régulateur intervient souvent après le déploiement, alors que le risque se joue avant, au moment où l’architecture est conçue.
L’Union européenne encadre la reconnaissance faciale dans l’espace public
En Europe, la reconnaissance faciale est discutée depuis plusieurs années dans le cadre de la régulation de l’intelligence artificielle. La Commission européenne a présenté en avril 2021 un projet visant à encadrer les usages, notamment dans l’espace public, et le Parlement européen a, à plusieurs reprises, défendu des restrictions fortes, voire des interdictions dans certains contextes. Le cur du débat porte sur la surveillance de masse, l’identification à distance et en temps réel, et le risque de dérive vers des pratiques incompatibles avec les libertés fondamentales.
Ce cadre européen influence les entreprises mondiales, car il impose des obligations de conformité et des risques de sanctions. Pour une plateforme comme Meta, l’existence de modules de reconnaissance faciale dans une application d’IA pose une question de segmentation, une fonctionnalité peut-elle être proposée dans certains pays et pas dans d’autres, sans créer de contournements? Les entreprises ont l’habitude de géolocaliser des fonctions, mais les défenseurs de la vie privée rappellent que les données circulent, qu’un utilisateur peut voyager, et que des contenus publiés dans une région peuvent être traités dans une autre.
Les textes européens s’intéressent aussi à la classification des systèmes “à haut risque”. Un outil de reconnaissance faciale utilisé pour l’authentification, l’accès à des services, ou l’identification dans des lieux publics peut basculer rapidement dans une catégorie plus strictement régulée. Pour une application grand public, le risque est de commencer par une fonctionnalité présentée comme ludique ou pratique, puis d’étendre les usages vers des domaines plus sensibles, modération automatisée, vérification d’âge, lutte contre la fraude, ou sécurité des comptes. Chaque extension change la balance bénéfices-risques.
Les défenseurs européens insistent aussi sur la transparence vis-à-vis des personnes non utilisatrices. Une photo publiée par un utilisateur peut contenir le visage d’un tiers qui n’a jamais accepté les conditions d’utilisation. La reconnaissance faciale, si elle est appliquée à des images partagées, touche donc des personnes qui n’ont aucun lien contractuel avec la plateforme. Cette dimension est souvent citée comme un point de rupture, car elle rend le consentement difficile à obtenir à grande échelle, surtout dans des espaces publics ou lors d’événements.
Dans ce contexte, la découverte de code non activé est interprétée comme un indicateur de préparation, même si aucune activation n’est annoncée. Les régulateurs européens demandent de plus en plus des preuves de conformité dès la conception, documentation technique, registres, évaluations d’impact, et mécanismes de contrôle interne. Une entreprise qui anticipe ces exigences peut documenter précisément pourquoi un module est présent, comment il est isolé, et quelles barrières techniques empêchent son usage non autorisé.
Sources
- Meta hides secret code for face recognition in Meta Glasses: Report – India Today
- Meta Silently Added Face-Recognition Code for Its Smart Glasses to Millions of Phones – WIRED
- WIRED – Meta has quietly embedded face-recognition…
- Wired found references to a facial recognition system in Meta’s smart glasses app. | The Verge
- Meta Silently Added Face-Recognition Code for Its Smart Glasses to Millions of Phones : r/gadgets
