OpenAI, selfies et “watchlists” : ce que raconte l’affaire Persona, et ce que le RGPD impose
Un rapport d’enquête technique publié par vmfunc, OpenAI s’appuierait sur Persona, un prestataire de vérification d’identité, pour contrôler certains profils au moyen d’une pièce d’identité et d’un selfie, parfois une courte vidéo. Le rapport décrit ensuite un tri à partir de listes de personnes ou d’entités signalées, avec une décision d’accès accordé ou refusé.
Le rapport décrit aussi une plateforme Persona orientée « administrations », avec des fonctions de déclaration d’activités suspectes vers des autorités nord américaines et des mécanismes liés à la biométrie. Persona a publié un billet « post incident review » à propos d’une exposition de fichiers techniques sur un sous domaine, avec sa propre version des faits. Lire la communication de Persona.
Point de méthode. Ces éléments viennent d’une enquête technique et d’échanges publics, pas d’une décision de justice. Le rapport vmfunc dit aussi ce qu’il n’établit pas, dont l’absence de preuve d’un lien direct et automatique entre un contrôle lié à OpenAI et un circuit de signalement vers l’État.
Un dispositif qui mélange pièce d’identité, visage et listes de surveillance crée un risque majeur pour les droits, surtout quand l’on parle d’acteurs américains et de chaînes de sous traitance.
Ce que les sources décrivent, en clair
1) Trois gestes, une conséquence
Le rapport décrit un parcours simple à résumer.
- Vous envoyez une pièce d’identité et un selfie, parfois une vidéo.
- Persona vérifie le document et cherche à s’assurer que le selfie vient d’une personne réelle.
- Le système tranche, accès accordé ou accès refusé.
Là où l’affaire devient sensible, c’est la logique du tri. Le rapport parle d’un contrôle fondé sur des listes, avec des scores et des règles de comparaison. Le rapport insiste aussi sur un point concret pour les personnes concernées, une décision de refus sans explication claire et sans voie de contestation visible.
2) Le tri sur des « listes », en langage courant
Les sources citent plusieurs catégories. Il ne s’agit pas d’un jargon réservé à la cybersécurité. Ces listes servent à classer des personnes comme « à risque ».
- Listes de sanctions. Elles recensent des personnes ou des entités avec lesquelles certaines transactions deviennent interdites ou bloquées. Le rapport cite notamment l’OFAC, un bureau du Trésor américain lié aux sanctions financières.
- Listes d’alerte liées à la fraude. Elles regroupent des signaux associés à des abus, des faux profils, des tentatives de contournement.
- Personnes politiquement exposées. Le secteur financier parle aussi de PEP. Cela vise des responsables publics et des proches, avec une vigilance renforcée.
- Presse défavorable. Les acteurs parlent parfois d’« adverse media ». Cela vise des articles sur des affaires judiciaires, des enquêtes, des soupçons relayés par des médias.
Le rapport cite aussi des listes liées aux actifs numériques et des listes « sur mesure ». Il cite FinCEN comme référence de format, FinCEN désigne une agence américaine liée à la lutte contre le blanchiment.
Le rapport mentionne enfin un indice technique, openai-watchlistdb.withpersona.com. Retenez l’idée principale. Le rapport s’appuie sur cette adresse pour décrire une brique de tri associée à OpenAI via Persona.
3) Une offre orientée « administrations » et la question des signalements
Le rapport vmfunc affirme avoir reconstitué une partie du code d’une plateforme Persona orientée « administrations » à partir de fichiers techniques accessibles en ligne. Sur cette base, il décrit des fonctions de déclaration d’activités suspectes, avec des destinations citées comme FinCEN aux États Unis et FINTRAC au Canada. FINTRAC désigne l’agence canadienne de renseignement financier.
Le rapport parle aussi de listes internes liées au visage et à l’arrière plan du selfie, avec une durée de conservation annoncée jusqu’à trois ans sur ce périmètre.
Ce qu'il faut retenir, au regard du RGPD
1) Un selfie de contrôle n’a rien d’anodin
Un selfie pour « vérifier » une identité ne sert pas à faire joli. Il sert à reconnaître un visage et à le comparer à une référence. Dès que l’on traite le visage dans une logique d’identification unique, le RGPD classe ces données comme données biométriques. Le RGPD encadre ce traitement de façon stricte, notamment via l’article 9. Texte du RGPD sur EUR Lex.
La CNIL rappelle aussi que la biométrie s’encadre strictement et que les organismes doivent justifier la nécessité et la proportionnalité. Ressource CNIL sur la biométrie.
2) Le vrai test, c’est la transparence et la contestation
Un contrôle d’identité n’entre pas dans un angle mort du RGPD. Une organisation doit informer clairement les personnes, dès la collecte ou lors de la première réutilisation, sur la finalité, la base légale, les destinataires, la durée de conservation, les transferts hors Union, et les droits. Le RGPD vise les articles 13 et 14.
Quand une décision bloque l’accès à un service, la question des garanties devient centrale. Une décision automatisée avec un effet significatif appelle des protections, dont une intervention humaine, une contestation, une explication adaptée. Le RGPD vise l’article 22.
Dans ce type de montage, l’opacité ne constitue pas un détail. Elle retire aux personnes une capacité concrète de comprendre, de contester, d’obtenir réparation.
3) Les listes font naître des erreurs, des biais, des dommages
Les listes de sanctions, les listes de fraude, les listes de responsables publics, les listes fondées sur des articles de presse, tout cela génère des faux positifs. Une homonymie, une photo de mauvaise qualité, un score trop permissif, un article daté, et le système déclenche un refus.
Le dommage ne se limite pas à un clic bloqué. Le tri organise une suspicion. Il pousse à la collecte de toujours plus de preuves. Il normalise l’idée d’un contrôle permanent, sans droit au doute ni droit à l’erreur.
4) Transferts hors Union et accès des autorités
Quand une organisation établie dans l’Union confie des données à des acteurs hors Union, elle doit garder un niveau de protection équivalent à celui garanti en Europe. Le RGPD encadre les transferts au chapitre V, dont l’article 44. Le CEPD rappelle les exigences en termes simples. CEPD, transferts internationaux.
Le sujet dépasse le contrat. Il concerne aussi l’accès par des autorités étrangères, selon les lois locales. Le RGPD demande un cadre, une analyse, des mesures concrètes.
5) Une AIPD s’impose dès que l’on touche au visage et à la surveillance
Quand une organisation met en place un traitement à risque élevé, elle doit conduire une analyse d’impact, une AIPD. Le RGPD vise l’article 35. La CNIL décrit une méthode opérationnelle centrée sur les risques pour les personnes. CNIL, AIPD.
Souveraineté numérique, le sujet derrière l’affaire
Cette affaire ne raconte pas seulement un débat entre un chercheur et une entreprise. Elle illustre un rapport de dépendance. Un service centralise la vérification d’identité, le stockage des preuves, le tri sur des listes, la décision d’accès. Un autre service, parfois un sous traitant, opère l’infrastructure. Une personne perd le contrôle sur les critères, sur la durée, sur les destinataires.
La souveraineté numérique ne se résume pas à un drapeau. Elle repose sur des conditions concrètes.
- Contrôle juridique. Un cadre de responsabilité clair, un régulateur accessible, des voies de recours réelles.
- Contrôle technique. Une chaîne de sous traitance lisible, des accès limités, des durées courtes, une sécurité prouvable.
- Contrôle démocratique. Une limitation des réaffectations de finalité, surtout quand le dispositif touche à la biométrie, à la politique, à la religion, à l’orientation sexuelle, aux opinions.
Un acteur change une règle de tri en quelques heures. Le droit, lui, avance sur une temporalité plus lente. La souveraineté numérique vise à réduire cet écart.
Se prémunir, des exigences concrètes
Pour une organisation établie dans l’Union
Silexo retient une ligne claire. Une vérification par selfie doit rester exceptionnelle et justifiée. Si une solution sans biométrie atteint le même objectif, l’organisation doit la retenir.
- Fixez une finalité stricte, lutte contre la fraude, contrôle d’âge, accès à une fonction sensible, rien d’autre.
- Offrez une alternative sans selfie quand la personne refuse, sans la punir par un service dégradé.
- Documentez la base légale et les choix de proportionnalité, puis tenez cette documentation à jour.
- Encadrez le sous traitant, rôles, destinataires, sous traitants ultérieurs, localisation, durées, accès, mesures de sécurité, audits.
- Organisez la contestation, support humain, délai de réponse, justification compréhensible, traçabilité des décisions.
- Réalisez une AIPD et traitez les risques, faux positifs, discriminations, atteintes aux libertés, transferts hors Union.
- Réduisez la dépendance en recherchant des solutions opérées dans l’Union, avec un droit applicable clair et un régulateur compétent.
Pour les personnes
- Réduisez la diffusion de votre visage quand un service n’a pas de raison sérieuse de le demander.
- Exigez de la clarté, finalité, durée, destinataires, transferts hors Union, voie de contestation.
- Changez d’outil quand un service impose un contrôle intrusif sans alternative. La demande crée le marché.
- Signalez à l’autorité de protection des données compétente quand une organisation refuse d’informer ou refuse une contestation.
Cette affaire rappelle une exigence de base. La vérification d’identité ne doit pas devenir un passage obligé du numérique. Quand une organisation exige une pièce et un selfie, elle demande une donnée irréversible. Le droit impose des garde fous, la souveraineté numérique impose des choix, et l’éthique impose de refuser l’opacité.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
