En bref : La collecte de données biométriques personnelles via la reconnaissance faciale ou d’autres méthodes à des fins publicitaires est depuis longtemps controversée. Cependant, la plupart des personnes ne s’attendent pas à ce qu’un distributeur automatique collecte ce type d’informations d’identification personnelle (PII). Étonnamment, quelqu’un a découvert une machine M&M sur un campus universitaire canadien faisant exactement cela à l’insu des étudiants et sans leur consentement.
L’Université de Waterloo, en Ontario, au Canada, a commencé à retirer ses distributeurs automatiques après avoir découvert une technologie de reconnaissance faciale sur l’un d’entre eux. Les opérateurs et les fabricants de la machine nient avoir collecté ou vendu des données biométriques, mais un cas antérieur dans le pays donne des raisons de s’alarmer aux étudiants.
L’étudiant et rédacteur sur Reddit « SquidKid47 » a publié une photo d’un message d’erreur sur l’une des machines M&M du collège montrant qu’un programme appelé « Invenda.Vending.FacialRecognition.App.exe » était tombé en panne. Une enquête ultérieure menée par un journal du campus a suscité l’indignation des étudiants, incitant l’école à ordonner le retrait des distributeurs automatiques du campus.
Le fabricant de distributeurs automatiques Invenda fait la promotion de services d’analyse qui fournissent aux opérateurs des données sur les habitudes d’achat en fonction de l’âge et du sexe estimés, indiquant que les machines disposent de systèmes de reconnaissance biométrique. Le journal universitaire suggère que l’entreprise pourrait envoyer les données des clients à la société mère de M&M, Mars.
Pensant que les distributeurs automatiques hébergeaient de petites caméras, les étudiants ont commencé à les recouvrir d’objets comme du chewing-gum et des post-it tout en exigeant leur retrait. L’administration de l’école n’a pas proposé de calendrier clair concernant le retrait et le remplacement des machines.
Adaria, l’opérateur de la machine, a affirmé qu’elle ne dispose que de capteurs de mouvement pour l’activer (la réveiller) lorsqu’elle détecte une personne. Invenda et Adaria ont déclaré que les machines ne prennent, ne stockent ni ne transmettent aucune photo ou vidéo des clients. Cependant, Invendia admet traiter localement des « cartes d’images numériques » à partir d’une caméra.
Selon un processus conforme au RGPD, la publicité générale d’Invenda prétend n’enregistrer que des données anonymisées. Pourtant, une autre entreprise au Canada a été surprise en train d’utiliser une technologie similaire pour enfreindre à grande échelle les réglementations en matière de confidentialité.
Une enquête officielle menée en 2020 par des responsables de la protection de la vie privée a révélé qu’en 2017 et 2018, Cadillac Fairview avait utilisé des caméras cachées dans des kiosques pour recueillir les images de plus de cinq millions d’acheteurs dans des centres commerciaux à travers le Canada, à leur insu ou sans leur consentement. Bien qu’il n’y ait aucun lien direct entre Cadillac Fairview et Invenda, le rappel de l’incident a déclenché un débat parmi les étudiants de Waterloo quant à savoir s’il fallait prendre Invenda ou Adaria au mot.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
