Aurich Lawson | Mars | Getty Images
L’Université canadienne de Waterloo s’empresse de retirer du campus les distributeurs automatiques intelligents de marque M&M après que des étudiants indignés ont découvert que ces machines collectaient secrètement des données de reconnaissance faciale sans leur consentement.
Le scandale a commencé lorsqu’un étudiant utilisant le pseudonyme SquidKid47 a publié une image sur Reddit montrant le message d’erreur d’un distributeur automatique du campus, « Invenda.Vending.FacialRecognitionApp.exe », affiché après que la machine n’a pas réussi à lancer une application de reconnaissance faciale dont personne ne s’attendait à faire partie. du processus d’utilisation d’un distributeur automatique.
« Hé, alors pourquoi ces stupides machines M&M ont-elles une reconnaissance faciale ? » SquidKid47 réfléchit.
Le message de Reddit a déclenché une enquête menée par un étudiant de quatrième année nommé River Stanley, qui écrivait pour une publication universitaire appelée MathNEWS.
Stanley a tiré la sonnette d’alarme après avoir consulté les brochures commerciales d’Invenda qui promettaient que « les machines sont capables d’envoyer des estimations de l’âge et du sexe » de chaque personne qui utilisait les machines, sans jamais demander leur consentement.
Cela a frustré Stanley, qui a découvert que le commissaire à la vie privée du Canada avait enquêté il y a des années sur un exploitant de centre commercial appelé Cadillac Fairview après avoir découvert que certains kiosques d’information des centres commerciaux « utilisaient secrètement un logiciel de reconnaissance faciale sur des clients sans méfiance ».
Ce n’est que grâce à cette enquête officielle que les Canadiens ont appris que « plus de 5 millions de Canadiens non consentants » avaient été numérisés dans la base de données de Cadillac Fairview, a rapporté Stanley. Alors que Cadillac Fairview a finalement été contrainte de supprimer l’intégralité de la base de données, Stanley a écrit que les conséquences de la collecte de données de reconnaissance faciale tout aussi sensibles sans consentement pour les clients d’Invenda comme Mars restent floues.
Le rapport de Stanley se terminait par un appel aux étudiants pour qu’ils exigent que l’université « interdise les distributeurs automatiques de reconnaissance faciale du campus ».
Une porte-parole de l’Université de Waterloo, Rebecca Elming, a finalement répondu, confirmant à CTV News que l’école avait demandé de désactiver le logiciel du distributeur automatique jusqu’à ce que les machines puissent être supprimées.
Les étudiants ont déclaré à CTV News que leur confiance dans l’administration de l’université avait été ébranlée par la controverse. Certains élèves ont affirmé sur Reddit avoir tenté de couvrir les caméras des distributeurs automatiques en attendant la réponse de l’école, en utilisant des chewing-gums ou des post-it. Un étudiant s’est demandé s’il existait « d’autres endroits où cette technologie pourrait être utilisée » sur le campus.
Elming n’a pas été en mesure de confirmer le calendrier exact du retrait des machines, sauf pour dire à Ars que cela se produirait « dès que possible ». Elle a déclaré à Ars qu’elle « n’était au courant d’aucune technologie similaire utilisée sur le campus ». Et pour tous les snacks occasionnels du campus qui se demandent quand, le cas échéant, les étudiants pourraient s’attendre à ce que les distributeurs automatiques soient remplacés par des distributeurs de snacks non équipés de caméras de surveillance, Elming a confirmé que « le plan est de les remplacer ».
Invenda affirme que les machines sont conformes au RGPD
L’enquête de MathNEWS a retracé les réponses des entreprises responsables des distributeurs automatiques intelligents sur le campus de l’Université de Waterloo.
Adaria Vending Services a déclaré à MathNEWS que « ce qu’il est le plus important de comprendre, c’est que les machines ne prennent ni ne stockent aucune photo ou image, et qu’une personne individuelle ne peut pas être identifiée à l’aide de la technologie des machines. La technologie agit comme un capteur de mouvement qui détecte les visages. , afin que la machine sache quand activer l’interface d’achat, sans jamais prendre ni stocker d’images des clients.
Selon Adaria et Invenda, les étudiants ne devraient pas s’inquiéter de la confidentialité des données, car les distributeurs automatiques sont « entièrement conformes » à la loi sur la confidentialité des données la plus stricte au monde, le Règlement général sur la protection des données (RGPD) de l’Union européenne.
« Ces machines sont entièrement conformes au RGPD et sont utilisées dans de nombreuses installations en Amérique du Nord », indique le communiqué d’Adaria. « À l’Université de Waterloo, Adaria gère les services de traitement du dernier kilomètre : nous nous occupons du réapprovisionnement et de la logistique des distributeurs automatiques de collations. Adaria ne collecte aucune donnée sur ses utilisateurs et n’a aucun accès pour identifier les utilisateurs de ces distributeurs automatiques M&M.
En vertu du RGPD, les données d’images faciales sont considérées comme parmi les données les plus sensibles pouvant être collectées, leur collecte nécessitant généralement un consentement explicite. Il est donc difficile de savoir comment les machines peuvent atteindre cette barre élevée en fonction des expériences des étudiants canadiens.
Un porte-parole d’Invenda a déclaré à Ars que « Invenda fonctionne selon une politique stricte et ne collecte aucune donnée ou photo des utilisateurs, garantissant ainsi que l’identification individuelle via la technologie machine est impossible. Le logiciel repose sur la détection des personnes et l’analyse faciale, et non sur la reconnaissance faciale. »
« Cela signifie que la détection des personnes identifie uniquement la présence d’individus, tandis que la reconnaissance faciale va plus loin en discernant et en précisant les individus », a déclaré le porte-parole d’Invenda. « De plus, la solution Invenda peut uniquement déterminer si une personne anonyme fait face à l’appareil, pendant quelle durée, et se rapproche des attributs démographiques de base de manière non identifiable. La technologie du distributeur automatique fonctionne comme un capteur de mouvement, activant l’interface d’achat lors de la détection d’individus, sans la capacité de capturer, conserver ou transmettre des images. L’acquisition de données se limite à évaluer le trafic piétonnier au distributeur automatique et les taux de conversion transactionnels. Ces systèmes adhèrent rigoureusement aux réglementations GDPR et s’abstiennent expressément de gérer, conserver ou traiter toute information personnellement identifiable.
Selon un communiqué de presse d’Invenda, Mars, le fabricant des bonbons M&M, a joué un rôle clé dans l’expansion d’Invenda en Amérique du Nord. Ce n’est qu’après avoir clôturé un cycle de financement de 7 millions de dollars, comprenant des accords avec Mars et d’autres clients majeurs comme Coca-Cola, qu’Invenda a pu promouvoir une croissance mondiale expansive qui semble élargir considérablement les opportunités de collecte de données et de surveillance de ses distributeurs automatiques intelligents.
« Le cycle de financement témoigne de la confiance des principaux investisseurs d’Invenda dans la culture d’entreprise d’Invenda, avec son engagement en faveur de la transparence, et dans sa volonté de développer la croissance mondiale », indique le communiqué de presse d’Invenda.
Mais les étudiants de l’Université de Waterloo, comme Stanley, remettent désormais en question « l’engagement de transparence » d’Invenda sur les marchés nord-américains, d’autant plus que la confusion a amené certains à soupçonner que l’entreprise viole ouvertement la loi canadienne sur la protection de la vie privée, a déclaré Stanley à CTV News.
Sur Reddit, tandis que certains étudiants plaisantaient en disant que le visage de SquidKid47 avait « planté » la machine, d’autres demandaient si « des étudiants en pré-droit voulaient lancer un recours collectif ? » Un intervenant a résumé la frustration des étudiants en écrivant en majuscules : « JE DÉTESTE CES MACHINES ! JE DÉTESTE CES MACHINES ! JE DÉTESTE CES MACHINES ! »
Cette histoire a été mise à jour le 26 février pour inclure les commentaires d’Invenda.