Après Instagram et TikTok, X (ex-Twitter) a annoncé qu’il collectera d’ici la fin du mois de septembre les données biométriques de certains utilisateurs. Pourquoi ce changement des règles ? La collecte de ce type de données, très sensibles, est-elle est en train de devenir la nouvelle norme pour les plateformes et les réseaux sociaux ?
Scan de l’iris ou du visage, vérification des empreintes digitales… Faudra-t-il bientôt accepter de donner ses données biométriques pour accéder aux réseaux sociaux ou à d’autres plateformes ? La question se pose à la lecture des futures conditions générales d’utilisation de X, anciennement Twitter. À partir du 29 septembre prochain, X explique, dans une mise à jour de ses conditions générales, que « sur la base de votre consentement, nous pouvons collecter et utiliser vos informations biométriques à des fins de sûreté, de sécurité et d’identification ».
Après Meta et TikTok, qui proposent dans différents pays de collecter ce type de data, ou qui vérifient l’identité des utilisateurs par ce biais, X rejoint le club des sociétés qui collecteront les données biométriques. Si la plateforme d’Elon Musk n’a pas donné de définition de ces data particulières dans ses conditions générales ou sur son blog, elle a néanmoins précisé certains points à nos confrères de Bloomberg et de la BBC. Selon ces échanges, tous les utilisateurs ne sont pas visés : seules les personnes abonnées au service payant X Premium (ex-Twitter Blue) sont concernées par cette future collecte de données biométriques.
Une possibilité et non une obligation
Le réseau social a souligné que ces derniers pourraient opter pour davantage de sécurité, via cette couche supplémentaire de vérification : « X offrira la possibilité de fournir sa carte d’identité officielle, combinée à un selfie », a-t-il été précisé à nos confrères. Ces informations biométriques comprendraient des « données relatives aux attributs physiques d’une personne, comme un scan du visage ou une empreinte digitale ». La collecte de ces données serait soumise au consentement de l’utilisateur en question.
Il s’agirait donc d’une possibilité et non d’une obligation – un point important dans l’Union européenne. Le règlement européen sur les données personnelles (RGPD) conditionne en effet la reconnaissance biométrique à un consentement « éclairé ». Les utilisateurs doivent pouvoir refuser la collecte de ce type de données – ce qui semble être le cas, selon ces conditions générales.
Pourquoi cet ajout de données ? Si l’entreprise rachetée par Elon Musk en octobre 2022 met en avant la « lutte contre les tentatives d’usurpation d’identité » et la sécurité, une potentielle action en justice pourrait expliquer cette modification. En juillet dernier, un recours collectif propose de viser, aux États-Unis, la société mère de X. Et c’est justement la collecte de données qui violerait une loi locale, celle de l’État de l’Illinois sur la confidentialité des informations biométriques. Selon le recours, X « n’a pas informé les individus de manière adéquate » de la collecte ou du stockage des identifiants biométriques des utilisateurs, qui seraient contenus dans chaque photographie. Chaque image qui finit sur le réseau social serait scannée afin de repérer, entre autres, les contenus potentiellement pornographiques. C’est au cours de ce scan que seraient prélevées ces données. La modification des conditions générales viserait donc à répondre à cette éventuelle action en justice.
Les dispositifs de vérifications biométriques, la tendance du moment ?
Autre hypothèse : X ne ferait que suivre la tendance actuelle, qui est de mettre en place des dispositifs de vérifications biométriques pour renforcer la sécurité sur les plateformes. Instagram a déjà instauré un système basé sur les selfies pour vérifier l’âge des utilisateurs au Royaume-Uni. TikTok collecte déjà des données biométriques, aux États-Unis. Sa politique de confidentialité indique par exemple que la plateforme peut, depuis 2021, « collecter des identifiants biométriques et des informations biométriques tels que définis par les lois américaines, comme les scans du visage et de la voix ».
X pourrait aussi avoir fait cette modification des règles d’utilisation, parce qu’il compte mettre en place un système de passkeys, selon le développeur d’applications Steve Moser. Cette méthode d’authentification permet de se connecter à ses comptes en toute sécurité, sans avoir à entrer un mot de passe.
À lire aussi : Grâce aux « passkeys », Google signe le « début de la fin des mots de passe »
« Un dangereux précédent » pour cet expert
La collecte tout comme la détention de telles données par des entreprises privées n’est pas sans inquiéter certains experts. Si l’utilisation de ce type de données à des fins d’authentification peut permettre une connexion plus sûre et plus pratique pour les utilisateurs, elle présente aussi des risques en termes de protection de la vie privée. Car si les numéros de carte de crédit peuvent être changés s’ils sont piratés, ce n’est pas le cas des informations biométriques d’une personne. Comment assurer la sécurité de ces données, particulièrement sensibles ?
Pour Jacopo Pantaleoni, ancien ingénieur et chercheur chez Nvidia interviewé par Fortune, la question dépasse les enjeux d’usurpation d’identité. « Le projet de X de collecter des données biométriques (…) crée un dangereux précédent », s’alarme-t-il. « Le danger est double. Si l’utilisation de ce type d’identification biométrique se généralise, il pourrait en résulter un système dans lequel il deviendrait virtuellement impossible de rester anonyme sur le Net, ce qui éroderait encore davantage la notion même de vie privée en ligne », ajoute-t-il à nos confrères. Or, l’utilisation de ces données biométriques « conduira invariablement au développement de méthodes encore plus fines et précises de publicité ciblée et de distribution d’informations sur mesure », estime-t-il.
La mise à jour des conditions générales d’utilisation comporte deux autres changements. X s’apprêterait d’abord à collecter des informations relatives au parcours professionnel des utilisateurs. Cela n’est pas forcément surprenant : Elon Musk, patron de la plateforme depuis octobre 2022, a répété à plusieurs reprises qu’il souhaitait que Twitter devienne une super-App à la manière de la plateforme chinoise WeChat, avec une partie dédiée au recrutement. Résultat, il est écrit noir sur blanc que les informations relatives à « votre expérience professionnelle, vos antécédents académiques et votre historique de recherche d’emploi » pourraient être prélevées. Ces données seraient ensuite partagées avec des employeurs. La fonction de recherche d’emploi est déjà disponible en version bêta aux États-Unis, mais aucune date de lancement n’est encore prévue en Europe.
Dernier élément mis à jour dans la nouvelle politique de confidentialité : le fait que les informations collectées normalement à des fins de publicité ciblée, pourraient être utilisées pour « entraîner les modèles d’apprentissage automatique ou d’intelligence artificielle (de X) (…) », a précisé la plateforme.
Si vous êtes un utilisateur de X, il existe un moyen simple de connaître les données auxquelles X a accès. Rendez-vous dans les paramètres de l’application (« Réglages »), puis dans « Confidentialité et sécurité » : vous verrez alors toutes les informations collectées par le réseau social, que vous pouvez, une à une, décocher.
À lire aussi : Caméras intelligentes pendant les JO de Paris : « Les personnes vont être utilisées comme des cobayes », déplore la Quadrature du Net