Faceapp, test ADN : à quoi consent-on pour s'amuser ?

30.08.2019

Les applications récréatives sur les réseaux sociaux et les analyses d’ADN exigent la divulgation des données biométriques, les plus personnelles qui soient.

L’été est propice aux activités récréatives et beaucoup d’utilisateurs ont choisi cette période pour découvrir les traits de leurs visages vieillis de quelques années en téléchargeant l’application mobile Faceapp, ou encore pour parcourir les secrets de leur ADN dévoilés par une entreprise spécialisée moyennant quelques dizaines d’euros. La curiosité que suscitent ces expériences suffit à donner envie de se prêter au jeu, dont on pressent d’emblée qu’il aura de quoi engendrer un fou rire, des rêveries voire des discussions passionnées sous les parasols.

Leurs conditions d’utilisation - rédigées sous une forme juridique des plus rébarbatives, on les accepte machinalement sans les lire : notre consentement est de toute façon nécessaire pour accéder à ces services divertissants. Et c’est ainsi que l’on abandonne tous droits sur nos données personnelles les plus intimes et les plus précieuses qui soient : nos données biométriques. Par définition, celles-ci nous collent à la peau pour la vie : on peut changer d’identité, mais pas d’ADN, ni de visage (sauf en ayant à recours à des opérations de chirurgie esthétique lourdes et coûteuses). Les entreprises qui proposent ce type d’applications et de tests ludiques ne cachent pas qu’elles collectent, conservent et commercialisent ces données, sans toutefois préciser à qui et dans quel but.

Les conditions d’utilisation de l’application Faceapp mentionnent explicitement que l’internaute cède tous ses droits sur la photo qu’il transmet pour servir de support au filtre de vieillissement par intelligence artificielle, et que la photo et l’image créée seront conservées pendant 48h et pourront être vendues à des tiers à toutes fins, notamment commerciales. D’autres données – comme le nom de l’utilisateur – sont également recueillies.

Un consentement vraiment libre ?

Malgré ces contraintes, Faceapp revendique plus de 100 millions de téléchargements depuis sa création en 2017¹, dont 12,7 millions entre le 10 et le 18 juillet dernier, après que des célébrités – comme le rappeur Drake, très populaire chez les jeunes – ont publié les images de leurs visages vieillis sur les réseaux sociaux, où un #AgingChallenge a connu une viralité aussi massive qu’immédiate.

Aux Etats-Unis, le succès de cette application éditée par l’entreprise russe Wireless Lab OOO a alarmé le Parti Démocrate, échaudé par l’affaire Cambridge Analytica² : il a demandé à ses membres de ne pas utiliser cette application, redoutant une manipulation lors de l’élection présidentielle américaine en 2020. Le sénateur démocrate américain Chuck Schumer a même adressé un courrier au FBI pour solliciter l’ouverture d’une enquête sur les éventuels risques induits pour la sécurité nationale, et à la Commission fédérale du Commerce pour évaluer les garde-fous à mettre en place pour veiller au respect de la vie privée des citoyens américains.

En Europe, le Règlement général sur la protection des données (RGPD) de 2016 protège les internautes contre toute utilisation non souhaitée de leurs données en exigeant des géants du numérique qu’ils recueillent leur consentement. Responsable de l’application du RGPD en France, la Commission nationale Informatique et Libertés (CNIL) souligne que ce consentement doit être recueilli « par un acte positif clair³ par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord ».

Pour autant, cocher une case ou cliquer sur un bouton « j’accepte » ne signifie pas que l’utilisateur a bien pris connaissance de ce qu’il concède, ni qu’il a compris les enjeux que suppose l’envoi d’une simple photo, ou d’un échantillon de salive. De nombreux Français ont ainsi frotté l’intérieur de leur joue avec un coton-tige avant de l’envoyer aux Etats-Unis pour décryptage, sans même savoir que l’analyse d’ADN est interdite en France et qu’ils s’exposent ainsi à une amende de 3750 euros.

Votre don d’ADN est conservé dans des bases de données géantes d’entreprises privées

La promesse de ces tests fait rêver l’utilisateur : les réseaux sociaux véhiculent une légion de vidéos émouvantes montrant la rencontre de cousins qui ne se connaissaient pas, d’enfants abandonnés qui retrouvent leurs parents, ou de suprémacistes blancs qui révisent leurs convictions en apprenant qu’une part de leur génome vient de souche africaine.

Les laboratoires spécialisés dans ces tests (comme AncestryDNA, 23andMe, MyHeritage DNA, HomeDNA, Living DNA, Veritas Genetics…) y trouvent aussi leur compte : outre les frais d’analyse de l’échantillon facturés à l’utilisateur (entre 70 et 100 euros), ils perçoivent des revenus des groupes pharmaceutiques à qui ils revendent ces échantillons conservés dans des bases de données colossales : ainsi, à elle seule, la société MyHeritage détient 92 millions de comptes individuels, répertoriant des données généalogiques et d’ADN.

La plupart des entreprises testeuses d’ADN proposent en effet de déterminer les origines ancestrales des ADN qui leur sont adressés, en détectant des zones géographiques de vie des aïeux lointains ou des éventuelles traces d’ADN de l’homme de Néandertal, voire de déterminer si la personne a des ancêtres juifs. Ce dernier point d’analyse est fourni automatiquement par certaines sociétés, sans que le requêteur en ait fait la demande, ce qui fait débat : du point de vue européen, la religion est une donnée personnelle hautement confidentielle.

Quelques entreprises se penchent en outre sur les risques de maladie marqués sur les gènes testés : c’est à la suite d’une telle analyse, pointant un risque de développement d’un cancer du sein, que l’actrice Angelina Jolie a décidé de pratiquer une masstectomie préventive. Des chercheurs s’inquiètent de la généralisation de ces tests, estimant qu’ils peuvent pousser à des interventions chirurgicales non nécessaires, ou à révéler des origines familiales insoupçonnées pouvant remettre en question l’histoire familiale.

De plus, l’exactitude de ces tests est contestée par de nombreux experts, et par le simple fait qu’un même échantillon testé dans deux laboratoires différents peut générer des conclusions différentes. En conséquence, il est recommandé de discuter le bilan reçu avec un professionnel, en particulier sur les prédictions d’ordre médical.

Un business lucratif qui profite aux laboratoires pharmaceutiques

Les bases de données colossales constituées par les entreprises testeuses d’ADN sont mises à disposition des laboratoires pharmaceutiques pour leur permettre de mieux connaître le potentiel de développement de différentes pathologies au sein de la population, et pour alimenter les recherches sur des maladies comme Parkinson ou Alzheimer. Il est possible de s’opposer à cette utilisation, et les utilisateurs européens, couverts par le RGPD, peuvent également demander la destruction de leur test après analyse et la non-commercialisation des résultats, ce que les laboratoires s’engagent à respecter (sans toutefois fournir de preuve).

Toutefois, la plupart d’utilisateurs de tests ADN (80% des clients de 23andMe par exemple) acceptent sciemment de fournir leur échantillon à des laboratoires dans l’espoir de participer à faire progresser la science. Ils cèdent ainsi tous droits de leurs données biométriques sur la foi d’une promesse, mais sans que l’utilisation exacte qui en sera faite ne soit précisée.

La biométrie est au cœur des nouvelles technologies pour la sécurité

Actuellement, on n’imagine guère à quels risques on s’expose en diffusant notre ADN ou les traits de nos visages. Pourtant, ces données collectées par des entreprises privées peuvent d’ores-et-déjà être utilisées pour exercer des programmes d’intelligence artificielle, notamment des algorithmes de reconnaissance faciale. Ces technologies commencent à donner lieu à des solutions commercialisées pour garantir la sécurité – collective ou individuelle.

Cette année, la Ville de Nice a expérimenté avec succès un programme de reconnaissance faciale pour autoriser ou non l’accès au site du Carnaval avec le concours de 1000 citoyens volontaires. Cette technologie pourrait séduire les 3500 municipalités françaises qui ont installé des dispositifs de vidéosurveillance pour garantir la sécurité de leur espace public. Une telle généralisation est déjà mise en place en Chine, ne manquant pas de soulever des inquiétudes quant aux libertés individuelles face à cette surveillance permanente d’individus identifiables à tout moment dans la rue. La Ville de San Francisco s’en méfie au point d’avoir interdit l’implantation des technologies de reconnaissance faciale sur son territoire.

De nombreux autres usages des données biométriques ne manqueront pas d’apparaître dans les prochaines décennies (avec des solutions de paiement par empreinte digitale par exemple). Un consentement au partage de nos données biométriques accordé aujourd’hui sans réflexion pour se divertir quelques minutes pourrait avoir à l’avenir des conséquences bien moins sympathiques.

¹ Faceapp propose également des filtres pour transposer un visage féminin en traits masculins (et vice versa) ou encore pour changer la couleur de peau d’une personne.

² Le documentaire « The Great Hack » (Netflix) détaille cette affaire qui concerne l’utilisation des données personnelles (convictions politiques) de 87 millions d’Américains collectées sur Facebook afin d’influencer l’élection présidentielle américaine de 2016 au profit de Donald Trump.

³ Le consentement n’est donné que lorsque l’internaute fait une action (telle que cocher une case ou cliquer sur un bouton « j’accepte » par exemple)