Oui, FaceApp aspire vos données, mais ce n'est pas la seule

FaceApp a bon dos. L'application russe qui permet de voir son visage vieilli, collecte des millions de photos à travers le monde, suscitant l'inquiétude sur l'usage qu'elle en fait. Mais aussi intrusif qu'il soit, cet usage semble refléter la pratique générale et non un cas isolé.

Lancée en 2017, FaceApp a refait surface ces derniers jours avec ses outils d'intelligence artificielle qui permettent de vieillir, rajeunir, modifier le teint ou le sourire d'un visage. Un succès tel qu'elle s'est hissée en tête du classement des applications gratuites sur Android et sur iOS. On estime qu'elle compte plus de 100 millions d'utilisateurs. Mais l'engouement s'est accompagné d'un émoi quant à la protection de la vie privée. Jusqu'à pousser un sénateur américain à demander au FBI d'enquêter sur les "risques pour la sécurité nationale" et la Pologne et la Lituanie à annoncer qu'elles allaient examiner de près l'application.

"Il ne faut pas stigmatiser FaceApp" 

Pourtant, des spécialistes de cybersécurité appellent à relativiser les risques, comme la société israélienne Checkpoint, qui n'a "rien trouvé d'extraordinaire dans cette application" qui "semble avoir été développée dans le bon sens" et ne présente pas de "permissions agressives".

"Il ne faut pas stigmatiser FaceApp, énormément d'applications recourent aux mêmes procédés", confirme Sylvain Staub, avocat spécialisé en droit de la donnée.

Outre le fait que la société est russe - ce qui nourrit des fantasmes, sont en cause les conditions générales d'utilisation (CGU), qui énoncent qu'en recourant à l'application "vous accordez à FaceApp une licence perpétuelle, irrévocable, non exclusive, libre de droits, mondiale, (...) pour utiliser, reproduire, modifier, adapter, publier, traduire, créer des travaux dérivés, distribuer, exploiter publiquement et afficher" les photos et informations qui s'y attachent, dont les noms ou pseudos.

"C'est une chose tout à fait standard", nuance Baptiste Robert, expert en cybersécurité. "Dans les CGU de la plupart des sites internet tels que Twitter ou Snapchat, vous allez retrouver exactement la même chose". 

Des usages contraires au règlement européen 

Si ces usages sont standards, ils n'en seraient pas moins contraires au règlement européen de protection des données personnelles (RGPD), au moins sur un point: l'obligation pour les entreprises d'obtenir le consentement "libre, spécifique, éclairé et univoque". En ouvrant l'application, aucun consentement n'est explicitement demandé.

"Il faut accéder à des CGU longues et fastidieuses, en anglais et uniquement sur le site, pour comprendre que les données seront conservées par l'éditeur et pourront être transférées en dehors de l'UE", détaille Sylvain Staub.

"Il n'y pas non plus de possibilité d'arrêter la collecte de données ni de procédure claire pour demander la suppression des données", ajoute Baptiste Robert. "L'indignation qui sort de cette histoire est bonne, car les gens s'intéressent à leur vie privée, mais en soi FaceApp n'est pas plus malicieuse que d'autres". 

Dans les deux cas, les données personnelles seront exploitées à des fins commerciales, pour mettre en place des publicités ciblées ou améliorer les algorithmes de reconnaissance faciale.

"Il n'y a pas de comparaison à faire entre FaceApp et des géants comme Facebook, qui posent des questions autrement plus importantes" de protection de la vie privée, estime Constantin Pavléas, avocat spécialisé dans le droit des nouvelles technologies.

Toute cette affaire met en lumière le rapport coût-bénéfice relatif à notre vie numérique. "Ai-je intérêt, pour avoir une photo de moi vieillie, à céder mon droit de propriété sur quelque chose de très personnel comme une photo", s'interroge Caroline Lancelot-Miltgen, chercheuse spécialiste des questions de données personnelles.