Les données personnelles transmises lors de la vérification d’identité sur LinkedIn

 (thelocalstack.eu)
5 points par GN⁺ 2026-02-22 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • La procédure de vérification d’identité de LinkedIn semble terminée dès que l’utilisateur envoie son passeport et une photo de son visage, mais les données sont en réalité transmises non pas à LinkedIn, mais à Persona, une entreprise américaine
  • Persona collecte une quantité importante de données personnelles, dont la photo du passeport, des données biométriques de reconnaissance faciale, les données de la puce NFC, ainsi que des informations sur l’appareil et la localisation
  • Ces données sont utilisées pour l’entraînement de l’IA, avec comme base légale l’« intérêt légitime », et sont donc traitées sans consentement explicite
  • Parmi les 17 sous-traitants (subprocessors) de Persona, 16 sont des entreprises américaines, et des sociétés d’IA comme OpenAI et Anthropic analysent les données de passeport et de visage
  • En vertu du CLOUD Act américain, même les données stockées sur des serveurs européens peuvent être consultées par le gouvernement des États-Unis, si bien que la protection des données personnelles des utilisateurs européens n’est pas réellement garantie

La véritable structure du processus de vérification LinkedIn

  • Lorsque l’on clique sur le bouton « Verify » de LinkedIn, l’utilisateur est redirigé vers Persona Identities, Inc. (basée à San Francisco)
    • LinkedIn est le client, et l’utilisateur devient la personne concernée par le traitement des données de Persona
    • La plupart des utilisateurs soumettent leur passeport et leur photo faciale sans même savoir que Persona existe

Les données collectées par Persona

  • Lors du processus de vérification d’identité, Persona collecte les informations suivantes
    • Nom, image complète du passeport, selfie en direct, géométrie faciale (données biométriques)
    • Données de la puce NFC, numéro d’identifiant national, sexe, date de naissance, e-mail, numéro de téléphone, adresse
    • Adresse IP, informations sur l’appareil et le navigateur, langue, données de localisation
  • En plus, Persona suit aussi des données biométriques comportementales (behavioral biometrics) comme la détection d’hésitation et la détection de copier-coller

Vérification croisée avec des données tierces

  • En plus des informations fournies par l’utilisateur, Persona effectue des vérifications croisées avec des bases de données gouvernementales, agences de crédit, opérateurs télécoms et fournisseurs de services publics
    • Il ne s’agit pas d’une simple vérification d’identité, mais d’une consultation de données au niveau d’une enquête de background check

Utilisation comme données d’entraînement pour l’IA

  • Selon la politique de confidentialité, les images de passeport et selfies envoyés sont utilisés pour entraîner des modèles d’IA
    • L’objectif est d’améliorer la reconnaissance des passeports selon les pays et d’améliorer le service
    • La base légale invoquée est l’« intérêt légitime », ce qui permet un traitement sans consentement explicite de l’utilisateur
    • La question de savoir si cela porte atteinte aux droits fondamentaux au regard du RGPD reste floue

Partage des données et acteurs ayant accès

  • Les informations reçues par LinkedIn sont le nom, l’année de naissance, le type de pièce d’identité, l’autorité de délivrance, le résultat de la vérification et une copie floutée de la pièce d’identité
  • Persona partage aussi les données avec
    • des prestataires de services et partenaires de données, des sociétés affiliées, des acquéreurs potentiels et les forces de l’ordre
  • La liste des 17 sous-traitants (subprocessors) comprend notamment
    • Anthropic, OpenAI, Groqcloud (extraction et analyse de données)
    • AWS, Google Cloud, Snowflake, MongoDB pour l’infrastructure et les services de base de données
    • Stripe, Twilio comme fournisseurs d’API de paiement et de communication
  • Sur les 17, 16 sont basés aux États-Unis et 1 au Canada ; aucune entreprise n’est située dans l’UE

CLOUD Act et problème de souveraineté des données

  • Persona exploite des centres de données aux États-Unis et en Allemagne, mais comme il s’agit d’une entreprise américaine, elle est soumise au CLOUD Act
    • Les tribunaux américains peuvent accéder, par ordre légal, à des données stockées sur des serveurs à l’étranger
    • La politique de Persona précise que les données peuvent être fournies en cas de demande des autorités pour des motifs d’application de la loi ou de sécurité nationale
    • Cela peut inclure une ordonnance de non-divulgation (gag order), de sorte que l’utilisateur peut ne pas être informé

Les limites du EU-US Data Privacy Framework

  • Persona dispose d’une certification EU-US Data Privacy Framework (DPF)
    • Il s’agit toutefois d’un mécanisme de remplacement du Privacy Shield, dont la portée juridique repose sur un Executive Order
    • Il existe donc une possibilité de retrait en cas de changement d’administration
    • Des organisations de défense de la vie privée comme noyb ont déjà engagé des recours juridiques

Les risques des données biométriques et les exceptions de conservation

  • Persona indique supprimer les données de géométrie faciale après la vérification ou dans un délai de 6 mois
    • Toutefois, une exception de conservation en cas d’exigence légale est prévue, ce qui ouvre la possibilité d’une conservation indéfinie sur ordre d’un tribunal américain
    • Les données biométriques sont des identifiants uniques impossibles à modifier, et une fuite est irréversible

Responsabilité juridique et droits des utilisateurs

  • La limitation d’indemnisation de Persona est fixée à 50 dollars
    • Les litiges ne peuvent être traités que par arbitrage individuel obligatoire via l’AAA, un organisme d’arbitrage américain
    • Pour les utilisateurs de l’UE, l’application du droit irlandais est mentionnée, mais la primauté du CLOUD Act rend la protection réelle très faible

Mesures proposées aux utilisateurs

  • Les utilisateurs ayant déjà terminé la vérification peuvent faire ce qui suit
    • Demande d’accès aux données : idv-privacy@withpersona.com
    • Demande de suppression : exiger la suppression des données non nécessaires une fois la vérification terminée
    • Contacter le DPO : il est possible de contester l’utilisation pour l’entraînement de l’IA à l’adresse dpo@withpersona.com
    • Reconsidérer la vérification : il faut tenir compte de l’importance de la protection des données biométriques plutôt que d’un simple badge

Conclusion

  • La vérification d’identité LinkedIn se termine en seulement trois minutes, mais il faut lire 34 pages de documents juridiques pour comprendre le véritable flux des données
  • L’utilisateur fournit à une entreprise américaine son passeport, son visage, ses données biométriques et son historique de crédit,
    s’exposant à des usages possibles pour l’entraînement de l’IA, l’accès des autorités et des exceptions légales de conservation
  • Les données des utilisateurs européens se retrouvent de fait sous le régime juridique américain
  • Pour obtenir un simple badge bleu, le système revient à livrer l’ensemble de son identité personnelle

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.