Un composant de reconnaissance faciale inactif, Name Tag, a été repéré dans l’application Meta AI, installée sur plus de 50 millions de téléphones. Le lendemain de la révélation par Wired, Meta a retiré le code. L’entreprise n’a pas expliqué pourquoi.
C’est notre confrère Wired qui a trouvé NameTag dans le code de l’application Meta AI dès janvier, sans que Meta l’ait activé ni annoncé aux utilisateurs. Le système transformait chaque visage capté par les lunettes Ray-Ban Meta ou Oakley en empreinte biométrique, stockait le résultat localement sur le téléphone et notifiait le porteur en cas de correspondance. Pour les visages non identifiés, l'application les indexait et les conservait en vue d’un traitement ultérieur. Dans la version publiée le lendemain de l’enquête, Meta a retiré les bibliothèques de reconnaissance faciale, le processus NameTag, l’alerte « Personne reconnue » et le dossier de stockage des empreintes. Il reste toutefois quelques fragments orphelins dans le code, dont un lien mort vers le profil d’une personne reconnue.
Dix questions, zéro réponse
Andy Stone, vice-président communications de Meta, avait dit à Wired que la fonctionnalité « n'existe pas ». Andrew Bosworth, directeur technique, avait dit du reportage qu’il était « absolument malhonnête ». Le lendemain, plus de code. Sur le calendrier du retrait et sur un éventuel retour de NameTag, Meta n’a pas été plus loquace.
Wired avait pourtant soumis dix questions à l’entreprise avant sa première publication. Meta n’en a traité aucune, pas même celles sur la durée de conservation des empreintes des inconnus stockées sur le téléphone de l’utilisateur, ou sur leur éventuel envoi vers les serveurs de Meta.
On sait pourtant tout de la chronologie du dossier. En février, un mémo interne de Meta Reality Labs, obtenu par le New York Times, précisait que l’entreprise comptait lancer NameTag « dans un environnement politique dynamique où de nombreux groupes de la société civile susceptibles de nous attaquer auraient leurs ressources concentrées sur d'autres préoccupations ». En avril, 75 organisations, dont l’ACLU, avaient demandé à Meta d’abandonner le projet. « Nos concurrents proposent ce type de produit, nous ne le faisons pas », avait alors déclaré un porte-parole de Meta.
Deux milliards d’euros de condamnations sur le même dossier
« Le retrait n'annule pas la décision initiale d'expédier le code », a déclaré Kade Crockford, directrice du programme technologie et libertés à l’ACLU du Massachusetts. Pour elle, l’épisode prouve que la protection des données des consommateurs exige une force exécutoire plus grande que celle que le Congrès a accordée jusqu’ici. Dans la semaine qui a précédé la publication de l’enquête, la Chambre des représentants du Massachusetts avait voté à l’unanimité une loi sur la vie privée des consommateurs, avec un droit d’action privé, c’est-à-dire la possibilité pour les personnes concernées de poursuivre directement en justice.
En 2021, Meta avait réglé 650 millions de dollars dans le cadre d’un recours collectif en Illinois, au titre de la loi sur la confidentialité biométrique de cet État. En juillet 2024, l’entreprise avait versé 1,4 milliard de dollars au Texas pour le même type d’infraction, sous la loi biométrique texane de 2009. Les deux affaires portaient sur Tag Suggestions, une fonction de Facebook que Meta avait désactivée en 2021, l’année même où l'entreprise avait supprimé plus d'un milliard d’empreintes faciales de ses serveurs.
Mais NameTag extrayait et stockait les empreintes sur l’appareil selon le même schéma. L’Illinois et le Texas disposent tous deux de lois biométriques avec des amendes par infraction.
Par ailleurs, EssilorLuxottica a vendu sept millions de paires de lunettes connectées en 2025, soit plus du triple du cumul 2023-2024. En France, les Ray-Ban Meta démarrent à 247 euros chez les opticiens partenaires.
Source : Wired (accès payant)
