Anthropic introduira une vérification d'identité par scan de géométrie faciale pour accéder à certaines fonctionnalités de Claude à compter du 8 juillet 2026une mesure décriée pour ses risques sécuritaires
À partir du 8 juillet 2026, Anthropic imposera la vérification d'identité biométrique pour les utilisateurs individuels de son modèle Claude. Cette mesure exige la soumission d'une pièce d'identité officielle et d'un scan facial pour générer des modèles de géométrie faciale. Elle est considérée comme un moyen d'échapper à l'interdiction de Fable 5, mais soulève des préoccupations majeures liées à la confidentialité des données. Ces contrôles visent aussi à répondre aux exigences d'exportation de Washington concernant les modèles d'IA. Les abonnés refusant ces règles risquent une suspension de compte, marquant un tournant dans l'accès aux technologies de pointe.
Anthropic ouvre une nouvelle ère dans l'accès aux grands modèles de langage de pointe. À partir du 8 juillet 2026, l'entreprise mettra en place une nouvelle politique exigeant la vérification de l'identité de ses utilisateurs pour son IA Claude. Cette mesure concerne exclusivement les abonnés aux offres grand public telles que Claude Free, Pro et Max, tandis que les clients professionnels utilisant les offres Team, Enterprise et l'API en sont exemptés.
C'est la première fois qu'un laboratoire d'IA de premier plan impose ce niveau de collecte de données biométriques dans ses conditions de confidentialité à destination du grand public. L'annonce a déclenché un tollé, mais Anthropic estime qu'il est important de connaître les utilisateurs de ses produits.
Anthropic affirme : « pour utiliser une technologie puissante de manière responsable, il faut avant tout savoir qui l'utilise. La vérification d'identité nous aide à prévenir les abus, à faire respecter nos politiques d'utilisation et à nous conformer à nos obligations légales ». Cependant, les détracteurs voient dans ces contrôles un « système de surveillance de masse », qui crée un précédent dangereux sur le marché des technologies de pointe.
Données personnelles collectées et processus de vérification
Lorsqu'un contrôle est déclenché, la nouvelle politique autorise la collecte d'une pièce d'identité officielle gouvernementale au format physique, incluant toutes les informations personnelles qui y figurent. De plus, Anthropic ajoute que les utilisateurs doivent également fournir un selfie vidéo ou photo en direct, à partir duquel le système de contrôle génère un modèle de géométrie faciale pour le comparer à la photographie du document officiel.
Seuls les documents officiels originaux et physiques sont acceptés : passeports, permis de conduire, cartes d’identité régionales ou provinciales et cartes d’identité nationales. Les photocopies, captures d’écran, pièces d’identité numériques, cartes d’étudiant et pièces d’identité temporaires sur papier sont toutes mises à l'écart. Quant au selfie, la vérification peut échouer à cause d’un mauvais éclairage, d’une image floue ou d’un document périmé.
Anthropic a sélectionné l'entreprise Persona Identities comme partenaire de vérification, louant « la fiabilité de sa technologie, de ses mesures de protection de la vie privée et de ses dispositifs de sécurité ». Pour les simples vérifications de l'âge, Anthropic fait appel à un fournisseur nommé Yoti, qui ne transmet qu'un résultat d'approbation ou de rejet et ne partage jamais les données biométriques ou l'image de la pièce d'identité avec Anthropic.
Pour les vérifications d’identité complètes, c’est Persona qui gère le processus. Ces contrôles sont effectués de manière limitée depuis le 14 avril 2026, date à laquelle Anthropic a discrètement lancé la vérification d’identité biométrique via Persona Identities. Mais ce choix ne manque pas de soulever des interrogations.
Rôle critique du tiers Persona Identities et enjeux de sécurité
Persona Identities est une plateforme de vérification d'identité (Know Your Customer - KYC) basée à San Francisco et soutenue par Founders Fund, la société de capital-risque cofondée par le milliardaire controversé Peter Thiel, qui est également investisseur chez Anthropic. Selon l'annonce, Anthropic agit en tant que « responsable du traitement » qui définit les règles ; et Persona Identities agit en tant que « sous-traitant » qui les met en œuvre.
Elle indique que les images des pièces d’identité et les données issues des selfies sont stockées sur les serveurs de Persona, et non sur ceux d’Anthropic. Mais le choix de ce prestataire suscite des interrogations en raison d'un incident de sécurité survenu en février 2026, au cours duquel le code source de l'interface gouvernementale de Persona Identities a été exposé publiquement, révélant au grand public ses capacités de surveillance étendues.
Des chercheurs en sécurité ont découvert que le code source du tableau de bord gouvernemental de Persona Identities se trouvait sur un terminal autorisé par FedRAMP et accessible au public, exposant ainsi 2 456 fichiers totalisant 53 mégaoctets sans qu’aucune exploitation ne soit nécessaire.
Le code exposé a révélé que Persona Identities ne se contente pas de vérifier l’âge : la plateforme est capable d’effectuer 269 contrôles de vérification distincts, notamment le recoupement des utilisateurs avec des listes de surveillance liées au terrorisme et à l’espionnage, la surveillance des informations médiatiques défavorables dans 14 catégories, et l’envoi de rapports d’activités suspectes directement au FinCEN et au FINTRAC canadien.
Anthropic rejette les allégations d'une surveillance de masse
Discord avait choisi Persona Identities pour mener sa propre expérience de vérification de l’âge au Royaume-Uni, mais a rompu ses liens avec le fournisseur quelques semaines après la divulgation. Bien qu'Anthropic affirme avoir contractuellement interdit à Persona Identities d'utiliser ces données pour l'entraînement de ses modèles d'IA ou le marketing, la durée exacte de conservation de ces informations sensibles par Persona n'a pas été rendue publique.
Persona Identities peut conserver des données biométriques, des numéros d’identification gouvernementaux, des empreintes numériques d’appareils et des adresses IP pendant une durée pouvant aller jusqu’à trois ans. Rick Song, PDG de Persona, a nié tout lien avec la surveillance gouvernementale et a déclaré que cette divulgation ne constituait pas une faille de sécurité, mais concernait uniquement du code front-end accessible au public.
Anthropic précise avoir imposé à Persona Identities de supprimer ces données conformément aux « délais de conservation fixés par Anthropic et à la législation en vigueur ». La nature exacte de ces délais de conservation n'a pas été rendue publique. Par ailleurs, Anthropic n’a pas publié de liste des événements qui déclenchent une vérification d'identité, ce qui renforce davantage le flou entourant cette mesure et les préoccupations des détracteurs.
La politique stipule que des vérifications peuvent avoir lieu « dans certaines circonstances » afin de garantir la « sécurité et la sûreté » des services. La page d’assistance de l’entreprise apporte quelques précisions supplémentaires, notant que des vérifications peuvent être effectuées lors de l’accès à certaines fonctions, dans le cadre de contrôles de routine visant à garantir l’intégrité de la plateforme, ou à des fins de sécurité et de conformité.
Quel est le lien avec la crise des contrôles d'exportation ?
Ces nouveaux contrôles répondent en grande partie à une crise majeure survenue récemment. Le gouvernement américain a ordonné à Anthropic de suspendre l'accès à ses modèles Fable 5 et Mythos pour tous les ressortissants étrangers pour des raisons de sécurité nationale. Faute de pouvoir vérifier la nationalité des utilisateurs en temps réel à l'échelle de sa plateforme, Anthropic a été contraint de désactiver ces modèles à l'échelle mondiale.
Selon certains analystes, si les rédacteurs de cette décision américaine avaient à l’esprit la sécurité nationale, ils ont fini par en faire un problème de gestion des identités. Le déploiement de ce nouveau système de vérification biométrique pourrait ainsi permettre à l'entreprise de confirmer l'identité de ses utilisateurs et de se conformer à l'avenir aux exigences gouvernementales de contrôle des exportations, empêchant ainsi les interdictions.
« L’effet net de cette décision est que nous devons désactiver brusquement Fable 5 et Mythos 5 pour tous nos clients afin de garantir la conformité », a écrit Anthropic dans un article de blogue commentant cette décision du gouvernement américain, laissant entendre qu'il était incapable de faire la distinction entre les ressortissants étrangers et les citoyens américains au sein de sa base d’utilisateurs. Ce qui pourrait expliquer cette nouvelle mesure.
Les conséquences pour les utilisateurs et les défis juridiques
Si l’interdiction d'accès pour les utilisateurs étrangers venait à se maintenir, cela donnerait à Anthropic la possibilité d’ouvrir l’accès aux utilisateurs disposés à fournir une copie numérisée de leur pièce d’identité, à condition que celle-ci comporte une preuve de leur citoyenneté américaine. Anthropic n'a pas publié la liste précise des événements qui déclenchent ces vérifications ni les conséquences exactes d'un refus de la part de l'utilisateur.
Il apparaît toutefois que refuser de se soumettre à ces vérifications expose l'utilisateur à des restrictions d'accès, voire à la suspension totale de son compte. Sur le plan juridique, la collecte de modèles de géométrie faciale expose l'entreprise à des réglementations extrêmement strictes, telles que le Biometric Information Privacy Act (BIPA) de l'État de l'Illinois et le Règlement général sur la protection des données (RGPD) de l'Union européenne.
Ces lois imposent des règles rigoureuses sur le consentement et les évaluations d'impact, et soulèvent d'importantes questions quant à la durée de conservation des données et à la légalité du transfert des données biométriques d'utilisateurs internationaux vers des serveurs situés aux États-Unis. (Les comptes signalés pour une utilisation apparemment par des mineurs peuvent se voir accorder un délai de 30 jours pour procéder à la vérification.)
Les comptes peuvent être définitivement bannis après vérification en cas de violations répétées de la politique, de localisations de compte non prises en charge, de violations des conditions d’utilisation ou d’utilisation confirmée par des mineurs. Des utilisateurs majeurs ont déjà été victimes de suspensions injustifiées.
Source : Anthropic
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des contrôles biométriques introduits par Anthropic ?
L'accès aux modèles d'IA avancés justifie-t-il la collecte de ces données sensibles ?
Certains détracteurs dénoncent l'introduction d'une surveillance de masse. Qu'en pensez-vous ?Voir aussi
Les autorités fédérales ont paniqué à propos de Fable 5 après un simple prompt du type « corrigez ce code » et non à cause d'un jailbreak, l'interdiction prive le secteur d'un outil de détection précieux
La Chine est soupçonnée d'avoir eu accès à Claude Mythos, selon des rapports indiquant que c'est la raison de la désactivation du puissant modèle d'IA d'Anthropic sur ordre du gouvernement américain
Anthropic a brusquement désactivé ses modèles IA les plus avancés, Mythos 5 et Fable 5, pour tous les utilisateurs après que le gouvernement américain lui a ordonné de suspendre l'accès aux étrangers
Vous avez lu gratuitement 12 581 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
