Les données personnelles transmises lors de la vérification d’identité sur LinkedIn

 (thelocalstack.eu)
5 points par GN⁺ 2026-02-22 | 2 commentaires | Partager sur WhatsApp
  • La procédure de vérification d’identité de LinkedIn semble terminée dès que l’utilisateur envoie son passeport et une photo de son visage, mais les données sont en réalité transmises non pas à LinkedIn, mais à Persona, une entreprise américaine
  • Persona collecte une quantité importante de données personnelles, dont la photo du passeport, des données biométriques de reconnaissance faciale, les données de la puce NFC, ainsi que des informations sur l’appareil et la localisation
  • Ces données sont utilisées pour l’entraînement de l’IA, avec comme base légale l’« intérêt légitime », et sont donc traitées sans consentement explicite
  • Parmi les 17 sous-traitants (subprocessors) de Persona, 16 sont des entreprises américaines, et des sociétés d’IA comme OpenAI et Anthropic analysent les données de passeport et de visage
  • En vertu du CLOUD Act américain, même les données stockées sur des serveurs européens peuvent être consultées par le gouvernement des États-Unis, si bien que la protection des données personnelles des utilisateurs européens n’est pas réellement garantie

La véritable structure du processus de vérification LinkedIn

  • Lorsque l’on clique sur le bouton « Verify » de LinkedIn, l’utilisateur est redirigé vers Persona Identities, Inc. (basée à San Francisco)
    • LinkedIn est le client, et l’utilisateur devient la personne concernée par le traitement des données de Persona
    • La plupart des utilisateurs soumettent leur passeport et leur photo faciale sans même savoir que Persona existe

Les données collectées par Persona

  • Lors du processus de vérification d’identité, Persona collecte les informations suivantes
    • Nom, image complète du passeport, selfie en direct, géométrie faciale (données biométriques)
    • Données de la puce NFC, numéro d’identifiant national, sexe, date de naissance, e-mail, numéro de téléphone, adresse
    • Adresse IP, informations sur l’appareil et le navigateur, langue, données de localisation
  • En plus, Persona suit aussi des données biométriques comportementales (behavioral biometrics) comme la détection d’hésitation et la détection de copier-coller

Vérification croisée avec des données tierces

  • En plus des informations fournies par l’utilisateur, Persona effectue des vérifications croisées avec des bases de données gouvernementales, agences de crédit, opérateurs télécoms et fournisseurs de services publics
    • Il ne s’agit pas d’une simple vérification d’identité, mais d’une consultation de données au niveau d’une enquête de background check

Utilisation comme données d’entraînement pour l’IA

  • Selon la politique de confidentialité, les images de passeport et selfies envoyés sont utilisés pour entraîner des modèles d’IA
    • L’objectif est d’améliorer la reconnaissance des passeports selon les pays et d’améliorer le service
    • La base légale invoquée est l’« intérêt légitime », ce qui permet un traitement sans consentement explicite de l’utilisateur
    • La question de savoir si cela porte atteinte aux droits fondamentaux au regard du RGPD reste floue

Partage des données et acteurs ayant accès

  • Les informations reçues par LinkedIn sont le nom, l’année de naissance, le type de pièce d’identité, l’autorité de délivrance, le résultat de la vérification et une copie floutée de la pièce d’identité
  • Persona partage aussi les données avec
    • des prestataires de services et partenaires de données, des sociétés affiliées, des acquéreurs potentiels et les forces de l’ordre
  • La liste des 17 sous-traitants (subprocessors) comprend notamment
    • Anthropic, OpenAI, Groqcloud (extraction et analyse de données)
    • AWS, Google Cloud, Snowflake, MongoDB pour l’infrastructure et les services de base de données
    • Stripe, Twilio comme fournisseurs d’API de paiement et de communication
  • Sur les 17, 16 sont basés aux États-Unis et 1 au Canada ; aucune entreprise n’est située dans l’UE

CLOUD Act et problème de souveraineté des données

  • Persona exploite des centres de données aux États-Unis et en Allemagne, mais comme il s’agit d’une entreprise américaine, elle est soumise au CLOUD Act
    • Les tribunaux américains peuvent accéder, par ordre légal, à des données stockées sur des serveurs à l’étranger
    • La politique de Persona précise que les données peuvent être fournies en cas de demande des autorités pour des motifs d’application de la loi ou de sécurité nationale
    • Cela peut inclure une ordonnance de non-divulgation (gag order), de sorte que l’utilisateur peut ne pas être informé

Les limites du EU-US Data Privacy Framework

  • Persona dispose d’une certification EU-US Data Privacy Framework (DPF)
    • Il s’agit toutefois d’un mécanisme de remplacement du Privacy Shield, dont la portée juridique repose sur un Executive Order
    • Il existe donc une possibilité de retrait en cas de changement d’administration
    • Des organisations de défense de la vie privée comme noyb ont déjà engagé des recours juridiques

Les risques des données biométriques et les exceptions de conservation

  • Persona indique supprimer les données de géométrie faciale après la vérification ou dans un délai de 6 mois
    • Toutefois, une exception de conservation en cas d’exigence légale est prévue, ce qui ouvre la possibilité d’une conservation indéfinie sur ordre d’un tribunal américain
    • Les données biométriques sont des identifiants uniques impossibles à modifier, et une fuite est irréversible

Responsabilité juridique et droits des utilisateurs

  • La limitation d’indemnisation de Persona est fixée à 50 dollars
    • Les litiges ne peuvent être traités que par arbitrage individuel obligatoire via l’AAA, un organisme d’arbitrage américain
    • Pour les utilisateurs de l’UE, l’application du droit irlandais est mentionnée, mais la primauté du CLOUD Act rend la protection réelle très faible

Mesures proposées aux utilisateurs

  • Les utilisateurs ayant déjà terminé la vérification peuvent faire ce qui suit
    • Demande d’accès aux données : idv-privacy@withpersona.com
    • Demande de suppression : exiger la suppression des données non nécessaires une fois la vérification terminée
    • Contacter le DPO : il est possible de contester l’utilisation pour l’entraînement de l’IA à l’adresse dpo@withpersona.com
    • Reconsidérer la vérification : il faut tenir compte de l’importance de la protection des données biométriques plutôt que d’un simple badge

Conclusion

  • La vérification d’identité LinkedIn se termine en seulement trois minutes, mais il faut lire 34 pages de documents juridiques pour comprendre le véritable flux des données
  • L’utilisateur fournit à une entreprise américaine son passeport, son visage, ses données biométriques et son historique de crédit,
    s’exposant à des usages possibles pour l’entraînement de l’IA, l’accès des autorités et des exceptions légales de conservation
  • Les données des utilisateurs européens se retrouvent de fait sous le régime juridique américain
  • Pour obtenir un simple badge bleu, le système revient à livrer l’ensemble de son identité personnelle

À lire aussi

2 commentaires

 
cherrycoder 2026-02-22

Il semble que cela soit aussi utilisé de manière assez inattendue dans les activités de contre-espionnage aux États-Unis.
 
GN⁺ 2026-02-22
Avis sur Hacker News

  • Le CEO de Persona a répondu directement sur LinkedIn
    Il affirme que les données personnelles ne sont pas utilisées pour entraîner l’IA, que les données biométriques sont supprimées immédiatement après la vérification d’identité, et que le reste des données est automatiquement supprimé sous 30 jours
    En pratique, quand le service juridique intervient, les documents sont souvent rédigés de façon excessivement large. Ils peuvent donc paraître bien plus inquiétants que la réalité, ce qui donne de la valeur à ce type d’explication en matière de transparence

    • Si ces explications ne sont pas reprises dans les documents juridiques, elles ne valent rien. Il faut pouvoir le vérifier dans les textes, pas seulement croire la parole du CEO
    • La politique précise qu’elle « peut être modifiée à tout moment », donc on peut se demander à quoi sert réellement la parole du CEO. En pratique, ils pourraient très bien ne faire qu’un soft delete et conserver les données
    • Plutôt que “pointing out”, il vaudrait mieux dire “claiming that”. Vu les liens avec des entreprises qui ont collecté illégalement des données pour entraîner leurs modèles, il est difficile de leur faire confiance publiquement
    • Si le service juridique utilise une formulation aussi large, c’est peut-être aussi parce que certaines choses ne sont pas claires en interne, ou pour laisser ouverte la possibilité d’exploiter les données. S’ils veulent vraiment protéger la vie privée des utilisateurs, cela doit être écrit dans les documents juridiques
    • Le fait que les données biométriques soient envoyées au serveur paraît étrange. Pourquoi ne pas faire du traitement sur l’appareil (on-device processing) ? Une architecture où seuls un hash et un sel sont envoyés, comme pour un mot de passe, semblerait plus sûre

  • J’avais créé autrefois une adresse e-mail dédiée à LinkedIn pour m’inscrire, et dès que j’ai supprimé le compte, j’ai commencé à recevoir une avalanche de spams sur cette adresse
    J’aimerais faire l’expérience, mais j’ai déjà perdu confiance. Je suis convaincu que LinkedIn a vendu les données

    • Je trouve ironique que Mozilla recrute un CEO dont l’unique profil public en ligne est sur LinkedIn. Je me demande pourquoi une organisation qui se dit anti-surveillance ferait ce choix
    • LinkedIn a bien trop d’antécédents de piratage. On a l’impression qu’ils essaient d’extraire jusqu’au bout la valeur des données des utilisateurs, même après leur départ
    • À la base, LinkedIn est selon moi une plateforme de collecte d’informations. Le fait que Microsoft l’ait rachetée, comme Skype, va dans le même sens
    • L’ancien LinkedIn avait déjà un passé problématique, entre scan des e-mails et création de faux comptes
    • LinkedIn est fondamentalement une plateforme de profils publics. Si l’on ne veut pas qu’une information soit publique, il ne faut pas l’y mettre. Le spam est inévitable, et le filtrage des e-mails reste la solution la plus réaliste

  • Lors de la création d’un nouveau compte, on m’a forcé à vérifier mon identité. J’ai dû utiliser mon passeport, puis consulter les données personnelles enregistrées, mais presque aucune information n’était fournie
    Les paramètres publicitaires étaient activés par défaut, et l’ensemble du processus était extrêmement pénible
    C’était pour un compte professionnel, donc je n’avais pas le choix, mais cela m’a fait sentir à quel point une alternative décentralisée est nécessaire

    • La vérification est aussi imposée pour accéder à un compte existant. Pour supprimer son compte ou refuser l’utilisation de contenus par l’IA, il faut au contraire fournir encore plus d’informations : c’est une structure contradictoire
    • Je comprends qu’avec le problème des bots IA, une vérification d’identité puisse être nécessaire, mais il faut trouver un moyen de construire la confiance sans sacrifier la vie privée. La réponse du CEO de Persona sur LinkedIn mérite aussi d’être lue
    • Si ces services peuvent agir ainsi, c’est à cause des effets de réseau. Les utilisateurs sont captifs, et cela devient du pouvoir
    • Le fait que Persona soit lié à Peter Thiel inquiète aussi. Il y a un risque si cela se combine à la surveillance étatique

  • La vérification d’identité via Persona revient au fond à enrichir les données gouvernementales
    Des services majeurs comme Coursera, Wealthsimple ou Lime en dépendent déjà, donc il est difficile d’y échapper, mais il faut des garanties juridiques sur l’usage des données
    Les régions qui discutent de souveraineté numérique, comme le Canada ou l’Europe, devraient encourager des alternatives locales

    • En pratique, il est déjà difficile d’y échapper dans des procédures du quotidien comme l’emploi, la location, les visas ou la signature électronique
    • Le rôle des plateformes KYC mérite « sa place en enfer », disait-on avec cynisme

  • Persona ne semble pas avoir une capacité digne de confiance pour gérer des données personnelles à grande échelle
    Article de blog associé : https://vmfunc.re/blog/persona

    • L’échange sur X (Twitter) entre le CEO et le blogueur vaut aussi le détour. Il ne s’agissait pas d’un piratage, mais d’une fuite de source maps frontend ayant exposé des noms de variables internes
    • Certains ont aussi réagi en disant que c’était un excellent texte, avec une vraie saveur du vieil internet
    • D’autres ont toutefois signalé techniquement que le site provoquait une fuite de mémoire dans Firefox
    • Il y avait aussi un avertissement : si l’on clique sur le bouton “Continue”, de la musique se lance soudainement

  • Le modèle fondamental de plateformes comme LinkedIn, Google ou Facebook consiste à vendre l’utilisateur comme produit
    Si quelqu’un paie pour vous cibler, cet argent est au final récupéré sur vous
    Cette structure aurait, à long terme, contribué à aggraver les inégalités économiques

    • Ce passage m’a tellement marqué que j’aimerais le citer quand j’explique l’importance de la vie privée. J’utilise aussi des services Google, mais je garde toujours leur modèle économique à l’esprit
    • LinkedIn est aussi, concrètement, une plateforme qui vend des produits payants. Le problème, c’est que cela ne leur suffit pas et qu’ils exploitent encore davantage les données
    • Tout le monde l’utilise parce que c’est « cool et gratuit », mais presque personne n’assume ensuite une responsabilité réelle quant aux conséquences
    • Certains s’inscrivent aussi sur LinkedIn précisément parce qu’ils veulent être ciblés. Le fait que des entreprises puissent y trouver des candidats peut relever d’un intérêt mutuel. En revanche, attribuer des problèmes macroéconomiques comme l’inflation aux réseaux sociaux semble excessif
    • Il ne faut jamais oublier que vous êtes le produit

  • LinkedIn s’est transformé en réseau social de pose à la TikTok. C’est une structure qui justifie la perte de temps au nom de « l’acquisition de connaissances sectorielles »
    Ce ne sont pas de vrais experts qui dominent, mais des gens qui vivent de leur marque personnelle

    • La plupart des utilisateurs regardent à peine le fil. Ils s’en servent surtout pour gérer leurs contacts ou envoyer des messages. Le fil n’est que du bruit, le mieux est de l’ignorer
    • J’utilise LinkedIn comme un canal unidirectionnel (write-only), et j’ai en réalité fait beaucoup de belles rencontres hors ligne grâce à ça
    • Si l’on garde une politique stricte de réseau, en n’ajoutant que des personnes rencontrées dans la vraie vie, le fil devient nettement plus propre

  • Le passage de l’article disant en substance « j’ai scanné un passeport européen et toutes les données sont parties vers des entreprises nord-américaines » a marqué les esprits
    Il est difficile de considérer LinkedIn comme un réseau véritablement européen

    • L’auteur voulait sans doute parler de « son propre réseau en Europe »
    • En Europe, il faudrait plutôt utiliser Xing, mais ce serait sans doute bien solitaire là-bas
    • Des expressions comme “Let that sink in” paraissent être des traces d’un texte généré par GPT, ce qui nuit à la confiance
    • Si les Européens utilisent LinkedIn, c’est à cause des effets de réseau. La concentration technologique autour des États-Unis a été une grosse erreur, et il faudrait, comme la Chine, développer des alternatives nationales

  • Ce type d’activisme pour la vie privée est nécessaire. J’ai moi-même fait la vérification LinkedIn, mais j’ai été impressionné par la liste d’actions concrètes proposée par l’auteur

  • Dernièrement, je reçois sans arrêt un message d’erreur disant que « les e-mails ne sont pas reçus ». Pourtant, ils arrivent bien
    Quand j’appuie sur le bouton, j’obtiens seulement « un problème est survenu », et même en tant qu’utilisateur payant, rien n’est résolu
    Le support a proposé d’envoyer un e-mail à cette même adresse, ce qui était absurde. Ce genre de structure rappelle encore une fois la nécessité de la décentralisation

    • On a l’impression que les systèmes de centre d’appel sont volontairement conçus pour être aussi complexes. Les employés de premier niveau n’ont aucun pouvoir et ne font que transférer les tickets ou vous renvoyer vers un autre service
      Même les systèmes téléphoniques à reconnaissance vocale IA sont finalement encore plus pénibles. On a le sentiment d’un monstre de complexité structurelle accumulé pendant des décennies
    • Quelqu’un a aussi suggéré de vérifier si le chargement distant des images était bloqué, car il est fréquent que la réception des e-mails soit mesurée via des pixels de suivi