Non, Apple n’autorise pas les développeurs à revendre les données de Face ID

Smileys

La communauté tech a été émue de découvrir qu’Apple permettait aux développeurs d’applications de recueillir les informations de Face ID, le système qui permet de déverrouiller l’iPhone X avec votre visage. Le spectre d’un Apple, défenseur de vos données personnelles, se muant en un revendeur (ou un grossiste) de vos informations a plané et, je crois, plane toujours. Je vais essayer de donner ici quelques explications et tenter de faciliter la compréhension de tous à ce sujet.

Face ID, comment ça marche ?

Pour bien comprendre de quoi on parle, il est important de rappeler de quoi est constituée cette fameuse fonctionnalité Face ID. Cela tient (en gros) en 3 points :

  1. Les photos (selfies) d’une personne.
  2. Le “mapping 3D” (une carte avec des facettes en 3D) du visage de la personne ;
  3. Une représentation mathématique (un calcul, à base de vecteurs et d’algorithmes constitués de machine learning, notamment pour comprendre les évolutions du visage de l’utilisateur) qui permet, à l’appui notamment (mais pas seulement) des deux points précédents, de déclencher concrètement le déverrouillage de l’iPhone. Ce dernier point étant chiffré et conservé localement de manière sécurisée sur le téléphone.

À quoi ont accès les développeurs ?

Les photos (point 1. ci-dessus) d’une personne étaient déjà accessibles et pouvaient être enregistrées par les développeurs (si l’on donne l’autorisation ou non à l’application).

La représentation mathématique (point 3. ci-dessus) reste uniquement dans l’iPhone, en local. Il n’a jamais (et il ne sera jamais) question de confier ces données aux développeurs.

Qu’est-ce qui change ?

En revanche (et c’est l’objet de la polémique comme de ce présent article), Apple a modifié ses accords auprès des développeurs tiers pour officialiser le fait que ces derniers pouvaient stocker le mapping 3D (point 2.). Il s’agit d’une information à laquelle ils ont toujours eu accès, et ce, sans l’autorisation express de l’utilisateur (contrairement aux photos prises avec la caméra en façade).

Techniquement, rien ne change. Car les développeurs avaient déjà, avec iOS 11, accès à cette donnée. Apple indique simplement, par la modification de cet accord avec les développeurs tiers, qu’ils en sont conscients, et qu’ils autorisent les développeurs tiers à les stocker.

En quoi cela pourrait poser problème ?

Pour les développeurs, c’est surtout un éclaircissement de savoir qu’Apple est conscient qu’ils aient le droit de stocker ces données. Mais au fond, il ne s’agit pas d’une véritable nouvelle information dont ils peuvent disposer et utiliser. Il faut reconnaître qu’aujourd’hui, avec les analyses d’images, les développeurs peuvent tout à fait déduire des émotions (beaucoup plus précisément d’ailleurs) uniquement en exploitant les images (point 1.) sans avoir réellement besoin de mappings 3D (point 2.).

En revanche, l’American Civil Liberties Union, association qui est activement impliquée dans la protection des données à caractère personnel aux États-Unis, (une sorte de CNIL américaine, l’analogie s’arrête à l’intention car les pouvoirs et la structure ne sont pas les mêmes) à l’origine de cette polémique, et qui milite beaucoup dans le bon sens des consommateurs, souligne le fait que malgré les dispositions notées ci-dessus, des risques existent que des développeurs exploitent ces données illégalement, et commercialement. Et évidemment, ils ont raison. Mais ils n’ont pas plus raison qu’avec nos photos, nos vidéos, nos voix, nos emplacements géographiques et de nombreuses autres traces auxquelles les développeurs tiers ont déjà accès… Ils soulignent d’ailleurs qu’Apple a toujours été historiquement bon pour gérer ce genre de pratiques, notamment avec le droit de vie ou de mort d’une application sur l’unique magasin d’applications de l’iPhone.

Alors, pourquoi cette affaire fait-elle du bruit ?

Voici les raisons qui, à mon sens, font polémique dans cette affaire :

  • D’une part le fait que le grand public ne comprend pas ce qui se passe, ce qui change, ou ce qui est fait de leurs données. Au même titre que la plupart des utilisateurs ne comprend pas la nature même de l’intelligence artificielle, ils ne sont pas au fait de la relation entre Apple (ou Google) et les développeurs tiers, et de ce qu’ils ont le droit ou non de faire.
  • Par ailleurs, cette année, vous l’aurez remarqué, l’iPhone X n’a pas véritablement de “gate”, de problème emblématique sur le produit ou sur son usage, comme nous avons pu l’avoir par le passé sur des modèles d’iPhones que l’on tenait mal, qui se pliaient, ou qui avaient de gros problèmes d’écrans. A priori, le seul “iPhone X gate”, c’est son prix. Mais forcément, en absence de véritable souci, la nature (et la polémique) a horreur du vide et doit se rabattre sur quelque chose, idéalement quelque chose de mal compris.
  • Il reste un problème réel : Apple ne demande pas à l’utilisateur d’une application, au premier lancement de celle-ci, d’autoriser explicitement l’application (et le développeur) à utiliser la caméra dite true depth (qui permet donc ce mapping 3D), comme c’est le cas pour la caméra ou pour la géolocalisation. Apple doit considérer qu’il s’agit d’une nouvelle composante de la caméra en façade.

Au fond, et en conclusion, peut-on reprocher en 2017 à Apple de ne pas vouloir différencier les images captées par une caméra en façade d’un smartphone d’un mapping 3D ?

PS : j’ai rédigé cet article partiellement en réaction à ce que mon ami Mat alias Profduweb a dit dans un épisode de son podcast, le M. Il est basé sur mes recherches et mes connaissances qui méritent toujours d’être précisées ou corrigées. Si vous pensez que ces propos sont incorrects ou incomplets, je vous remercie par avance de m’aider à les améliorer à l’aide des commentaires !

Auteur : Guillaume

Papa de 2 enfants, je fais des podcasts sur la tech, le développement personnel, la productivité, le lifehacking. Mon blog parle de tout ça à la fois, mais aussi de jeux, et de mes coups de cœur au quotidien.