OpenAI, selfies et “watchlists” : ce que raconte l’affaire Persona

Une enquête technique récente publiée par vmfunc décrit un scénario assez troublant. OpenAI s’appuierait sur Persona, un prestataire de vérification d’identité, afin de contrôler certains profils. Le parcours repose sur une pièce d’identité et un selfie, parfois une courte vidéo. Le dispositif effectuerait ensuite un tri à partir de listes de personnes ou d’entités signalées, avant de décider si l’accès reste possible ou non.

Autre élément important dans ce dossier, l’existence d’une offre Persona orientée « administrations ». Les informations publiées évoquent des fonctions de déclaration d’activités suspectes vers des autorités nord américaines, ainsi que des mécanismes liés à la biométrie. De son côté, Persona a publié un billet « post incident review » sur l’exposition de fichiers techniques sur un sous domaine et livre sa version des faits. Persona

Point de méthode. On parle ici d’une enquête technique et d’échanges publics, pas d’une décision de justice. L’auteur précise aussi ce qu’il n’établit pas, dont l’absence de preuve d’un lien direct et automatique entre un contrôle lié à OpenAI et un circuit de signalement vers l’État.

Un dispositif qui mélange pièce d’identité, visage et listes de surveillance fait peser un risque élevé sur les droits des personnes cencernées. Le risque augmente encore quand la chaîne implique des acteurs américains et des sous traitants ultérieurs.

Ce que les sources décrivent

1) Trois gestes, une conséquence

Le parcours tient en trois actions.

  • Vous transmettez une pièce d’identité et un selfie, parfois une vidéo.
  • Persona contrôle le document et vérifie que le selfie provient d’une personne réelle, pas d’une image fixe.
  • Le service décide, accès accordé ou accès refusé.

Le point sensible ne se limite pas à la collecte. Le tri vient ensuite. Les éléments publiés parlent de listes, de scores et de plus de 200 règles de comparaison. Et surtout, ils décrivent une situation concrète pour les personnes concernées, un refus sans explication claire et sans voie de contestation visible.

2) Le tri sur des « listes »

Ces listes n’appartiennent pas au vocabulaire d’initiés. Elles servent à classer des personnes comme « à risque », puis à limiter ou bloquer l’accès à un service. Les catégories citées recouvrent notamment les cas suivants.

  • Listes de sanctions. Elles recensent des personnes ou des entités avec lesquelles certaines transactions deviennent interdites ou bloquées. Le dossier cite l’OFAC, un bureau du Trésor américain associé aux sanctions financières.
  • Listes d’alerte liées à la fraude. Elles regroupent des signaux associés à des abus, des faux profils, des tentatives de contournement.
  • Personnes politiquement exposées. Le secteur financier parle aussi de PEP. Cette catégorie vise des responsables publics et des proches, avec une vigilance renforcée.
  • Presse défavorable. Beaucoup d’acteurs parlent d’« adverse media ». Cette logique s’appuie sur des articles de presse qui relaient des affaires judiciaires, des enquêtes, ou des soupçons.

Le dossier mentionne aussi des listes liées aux actifs numériques et des listes « sur mesure ». Il cite FinCEN comme référence de format. FinCEN désigne une agence américaine liée à la lutte contre le blanchiment.

Un indice technique apparaît aussi, openai-watchlistdb.withpersona.com. Gardons l’idée principale. Cette adresse sert d’appui au raisonnement qui décrit une brique de tri associée à OpenAI via Persona.

3) Une offre orientée « administrations »

Les éléments publiés précisent aussi un volet « administrations ». L’enquête affirme avoir reconstitué une partie du code d’une plateforme Persona à partir de fichiers techniques accessibles en ligne. Sur cette base, elle décrit des fonctions de déclaration d’activités suspectes vers des autorités citées comme FinCEN aux États Unis et FINTRAC au Canada. FINTRAC désigne l’agence canadienne de renseignement financier.

Le même ensemble d’informations évoque aussi des listes internes liées au visage et à l’arrière plan du selfie, avec une durée de conservation annoncée jusqu’à trois ans sur ce périmètre.

Analyse de la situation au regard du RGPD

1) Un selfie de contrôle n’a rien d’anodin

Un selfie dans un parcours de vérification sert à reconnaître un visage et à le comparer à une référence. Dès qu’un acteur traite le visage dans une logique d’identification unique, le RGPD classe ces données comme données biométriques. Le RGPD encadre ce traitement de façon stricte, notamment via l’article 9. RGPD

La CNIL rappelle aussi que la biométrie s’encadre strictement et que les organismes doivent justifier la nécessité et la proportionnalité. Ressource CNIL sur la biométrie

2) Le vrai test, c’est la transparence et la contestation

Un contrôle d’identité ne sort pas du champ du RGPD. Une organisation doit informer clairement les personnes, dès la collecte ou lors de la première réutilisation, sur la finalité, la base légale, les destinataires, la durée de conservation, les transferts hors Union, et les droits. Le RGPD vise les articles 13 et 14.

Quand une décision bloque l’accès à un service, les garanties deviennent centrales. Une décision automatisée avec un effet significatif appelle des protections, dont une intervention humaine, une contestation, une explication adaptée. Le RGPD vise l’article 22.

Ici, l’opacité crée le risque. Elle prive les personnes d’une capacité réelle à comprendre, à contester, à obtenir réparation.

3) Les listes font naître des erreurs, des biais, des dommages

Listes de sanctions, listes de fraude, listes de responsables publics, listes fondées sur des articles de presse. Ce mélange produit des faux positifs. Une homonymie, une photo de mauvaise qualité, un score trop permissif, un article daté, et le service refuse l’accès.

Le dommage dépasse le confort d’usage. Le tri installe une suspicion. Il pousse à fournir toujours plus de preuves. Il banalise un contrôle permanent, sans droit au doute ni droit à l’erreur.

4) Transferts hors Union et accès des autorités

Quand une organisation établie dans l’Union confie des données à des acteurs hors Union, elle doit garantir un niveau de protection équivalent à celui du droit européen. Le RGPD encadre les transferts au chapitre V, dont l’article 44. Le CEPD rappelle les exigences en termes simples. CEPD

Le sujet ne s’arrête pas au contrat. Il touche aussi l’accès par des autorités étrangères, selon les lois locales. Le RGPD exige un cadre, une analyse, des mesures concrètes.

5) Une AIPD s’impose dès que l’on touche au visage et à la surveillance

Dès qu’un traitement présente un risque élevé, l’organisation doit conduire une analyse d’impact, une AIPD. Le RGPD vise l’article 35. La CNIL propose une méthode opérationnelle centrée sur les risques pour les personnes. CNIL

La souveraineté numérique, le sujet derrière l’affaire

Ce dossier raconte une dépendance qui s’installe sans bruit. Un acteur centralise la vérification d’identité, conserve les preuves, applique un tri, décide qui accède au service. Derriere, une chaîne de sous traitance gère l’infrastructure, les règles, les accès, la conservation. Quand ce montage devient la norme, la personne concernée perd la main sur l’essentiel, qui décide, sur quels critères, avec quelles données, pendant combien de temps.

Retenons un point essentiel. Un dispositif conçu pour bloquer des fraudeurs ou des personnes sous sanctions reste un dispositif de tri. La finalité officielle rassure, la mécanique reste la même. Une organisation modifie une règle, la catégorie ciblée change. Le même stock de preuves, selfie, pièce, scores, résultats de contrôle, sert alors à d’autres usages.

La dérive ne demande pas une refonte totale. Elle demande une définition différente de ce qui devient « suspect ». Un jour, la cible s’appelle fraude. Un autre jour, elle s’appelle activisme, religion, orientation sexuelle, opinion politique. Le code suit l’objectif fixé par celui qui contrôle le système. Le droit avance plus lentement, surtout quand les acteurs, les serveurs et les autorités de contrôle se trouvent hors de l’Union.

Pourquoi il faut agir maintenant

La souveraineté numérique se joue avant la crise. Le jour où un fournisseur active un levier de dépendance, une hausse tarifaire brutale, une rupture de service, une exigence de vérification intrusive, un changement de conditions, l’organisation subit. A ce moment là, la migration devient une opération lourde, longue, technique, risquée si elle se fait dans l’urgence. Un outil pivot touche la production, la relation client, la sécurité, la conformité. Une sortie mal préparée fragilise tout le reste.

SILEXO défend une approche simple. Construisez la capacité de sortie tant que tout fonctionne. Une dépendance réversible protège mieux qu’un discours de confiance.

Ce que recouvre la souveraineté numérique

  • Contrôle juridique. Identifier un responsable, un sous traitant, des sous traitants ultérieurs. Exigez une information claire, une base légale solide, des voies de recours réelles. Refuser l’opacité sur les destinataires et les transferts.

  • Contrôle technique. Garder la maîtrise des données, formats exportables, récupération simple, suppression vérifiable. Limiter les accès, raccourcissez les durées, journaliser. Choisir des solutions interopérables, documentées, auditables.

  • Contrôle démocratique. Empêcher les glissements de finalité. Poser des lignes rouges, pas de biométrie pour un usage banal, pas de tri silencieux, pas de décision sans contestation. La technologie ne doit pas installer une suspicion permanente dans la vie quotidienne.

Cette affaire donne une raison supplémentaire de reprendre la main. Elle rappelle que la protection des données et la souveraineté numérique relèvent du même choix. Réduire la collecte, exiger la transparence, construire des alternatives, préparer la sortie. Ces décisions se prennent maintenant, dans le calme, pas sous contrainte.

Se prémunir, des exigences concrètes

Pour une organisation établie dans l’Union

Une vérification par selfie doit rester exceptionnelle et justifiée. Si une solution sans biométrie atteint le même objectif, l’organisation doit la retenir.

  • Fixez une finalité stricte, lutte contre la fraude, contrôle d’âge, accès à une fonction sensible, rien d’autre.
  • Offrez une alternative sans selfie quand la personne refuse, sans la punir par un service dégradé.
  • Documentez la base légale et les choix de proportionnalité, puis tenez cette documentation à jour.
  • Encadrez le sous traitant, rôles, destinataires, sous traitants ultérieurs, localisation, durées, accès, mesures de sécurité, audits.
  • Organisez la contestation, support humain, délai de réponse, justification compréhensible, traçabilité des décisions.
  • Réalisez une AIPD et traitez les risques, faux positifs, discriminations, atteintes aux libertés, transferts hors Union.
  • Réduisez la dépendance en recherchant des solutions opérées dans l’Union, avec un droit applicable clair et un régulateur compétent.

Pour les personnes

  • Réduisez la diffusion de votre visage quand un service n’a pas de raison sérieuse de le demander.
  • Exigez de la clarté, finalité, durée, destinataires, transferts hors Union, voie de contestation.
  • Changez d’outil quand un service impose un contrôle intrusif sans alternative. La demande crée le marché.
  • Signalez à l’autorité de protection des données compétente quand une organisation refuse d’informer ou refuse une contestation.

Cette affaire rappelle une exigence de base. La vérification d’identité ne doit pas devenir un passage obligé du numérique. Quand une organisation exige une pièce et un selfie, elle demande une donnée irréversible. Le droit impose des garde fous, la souveraineté numérique impose des choix, et l’éthique impose de refuser l’opacité.

IZIRO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !