OkCupid a vendu trois millions de photos de son application de rencontre à une firme de reconnaissance faciale
OkCupid a vendu trois millions de photos de son application de rencontre à une firme de reconnaissance faciale :
douze ans de mensonges, zéro amende et des photos toujours entre de mauvaises mains
En 2014, des cofondateurs d'OkCupid ont transmis quasi clandestinement les photos de près de trois millions d'utilisateurs à une entreprise de reconnaissance faciale dans laquelle ils avaient eux-mêmes investi. Douze ans, une enquête obstruée et un accord à l'amiable plus tard, la sanction se résume à une promesse de mieux se tenir. Sans un centime d'amende.
L'affaire commence en septembre 2014 par un simple courriel. Le fondateur de Clarifai contacte par email un cofondateur d'OkCupid pour lui demander l'accès à de vastes ensembles de photos d'utilisateurs. La démarche n'a rien d'une négociation commerciale ordinaire : les cofondateurs d'OkCupid, Sam Yagan et Max Krohn, avaient investi dans Clarifai via leur fonds de capital-risque Corazon. Ils avaient donc un intérêt financier direct à alimenter cette startup en données précieuses.
L'un des cofondateurs d'OkCupid a fourni les photos depuis sa messagerie personnelle. Ce détail, qui pourrait sembler anecdotique, illustre à quel point la transaction était informelle, opaque, et délibérément tenue à l'écart des circuits officiels de l'entreprise. OkCupid a ainsi fourni à Clarifai un accès à près de trois millions de photos d'utilisateurs, accompagnées de données de localisation et d'informations démographiques, sans imposer la moindre restriction formelle ou contractuelle sur l'usage qui pouvait en être fait.
Les utilisateurs, eux, n'ont jamais été informés. La politique de confidentialité d'OkCupid stipulait explicitement que les données personnelles ne seraient pas partagées avec des tiers en dehors de cas précis : prestataires de services, partenaires commerciaux, ou entités du groupe Match. Clarifai ne relevait d'aucune de ces catégories. Les conditions d'un opt-out, pourtant prévu par la même politique, n'ont jamais été proposées.
Clarifai : entraîner des algorithmes de reconnaissance faciale à partir de portraits intimes
Pourquoi ces millions de photos de profils de rencontres intéressaient-ils à ce point une startup d'intelligence artificielle ? Clarifai a utilisé les photos d'OkCupid pour développer des logiciels de reconnaissance faciale capables d'identifier l'âge, le sexe et la race des visages analysés. Les clichés téléchargés par des célibataires en quête d'une relation amoureuse sont ainsi devenus du carburant pour entraîner des systèmes biométriques commerciaux, sans que leurs propriétaires en aient la moindre idée.
Interrogé sur ses intentions par le New York Times, le PDG de Clarifai, Matthew Zeiler, avait déclaré que la société serait prête à vendre sa technologie de reconnaissance faciale à des gouvernements étrangers, des opérations militaires et des services de police, selon les circonstances. Ce positionnement commercial, énoncé sans détour, donne la pleine mesure de ce à quoi les données des utilisateurs d'OkCupid auraient pu (ou peuvent encore) servir : les photos sont toujours en possession de Clarifai.
L'affaire a d'abord émergé dans la presse en juillet 2019, quand le New York Times a rapporté que le fondateur de Clarifai avait lui-même reconnu avoir constitué une base de données de visages à partir des images d'OkCupid. Confrontée à cette révélation, une porte-parole d'OkCupid a indiqué que Clarifai les avait approchés pour une possible collaboration et qu'aucun accord commercial n'avait été conclu,sans toutefois répondre à la question centrale : Clarifai avait-il accédé aux photos sans consentement ?
Clarifai : de la startup de la Silicon Valley au prestataire du Pentagone
Pour mesurer la portée réelle du scandale, il faut comprendre ce qu'est devenue Clarifai depuis 2014. Fondée en 2013 à New York par Matthew Zeiler, la société s'est d'abord positionnée comme un outil de vision par ordinateur à destination des entreprises : modération de contenu, analyse d'images pour le commerce en ligne, classification automatisée de vidéos. Ses API de reconnaissance faciale lui ont rapidement valu une réputation dans le secteur, mais ses revenus commerciaux restaient modestes et sa clientèle fragmentée.
Le tournant s'est opéré du côté militaire. En 2019, Clarifai a annoncé la création d'une filiale dédiée exclusivement aux contrats gouvernementaux, baptisée Neural Net One, implantée à Washington. L'objectif : décrocher des contrats dans la défense, le renseignement, la sécurité aux frontières et la surveillance. Ce pivot assumé a provoqué des tensions internes : quatre anciens employés ont indiqué que le manque de transparence de Zeiler sur les contrats militaires avait nui au moral des équipes, compliqué les recrutements et fragilisé la confiance au sein de l'entreprise. Au moins deux salariés ont quitté Clarifai en raison de leurs inquiétudes face à cette orientation.
Ces réticences n'ont pas freiné la trajectoire de l'entreprise. Clarifai a travaillé sur Project Maven, le premier grand programme d'intelligence artificielle du département américain de la Défense, et a fourni des solutions à l'United States Special Operations Command (USSOCOM), à la National Geospatial-Intelligence Agency (NGA), au Department of Homeland Security (DHS) et à d'autres agences du renseignement. Sa technologie de reconnaissance faciale est aujourd'hui commercialisée comme une solution « de niveau militaire », déployable dans le cloud, sur site ou en périphérie de réseau.
C'est dans ce contexte que la question des trois millions de photos d'OkCupid prend une dimension autrement plus préoccupante. Ces données, collectées en 2014 sans aucune restriction contractuelle sur leur usage, ont pu alimenter l'entraînement des algorithmes qui équipent aujourd'hui des agences fédérales américaines. Les photos sont toujours en possession de Clarifai et l'accord transactionnel conclu avec la FTC n'impose à personne de les détruire. Des portraits intimes déposés sur une application de rencontres par des utilisateurs cherchant l'amour pourraient donc, en théorie, contribuer à identifier des individus dans des contextes de surveillance gouvernementale ou militaire. Une perspective que ni OkCupid, ni Match Group, ni la FTC n'ont jugé utile de commenter.
Douze ans de dissimulation, une enquête entravée
Ce qui aggrave considérablement les faits, c'est la durée et l'intensité des manœuvres déployées pour enterrer l'affaire. Selon la FTC, OkCupid et Match Group ont engagé des efforts considérables pour dissimuler et nier ces transferts de données dès 2014, allant jusqu'à tenter d'entraver l'enquête de l'agence. La Commission a dû saisir les tribunaux fédéraux pour forcer OkCupid à répondre à ses demandes d'enquête formelles (Civil Investigative Demands).
Lorsqu'un reportage a révélé que le tiers avait obtenu de vastes ensembles de données OkCupid, la société a affirmé aux médias et à ses propres utilisateurs qu'elle n'avait aucun lien avec Clarifai. Ce mensonge public, documenté par la FTC, s'ajoute à l'obstruction procédurale pour dessiner le portrait d'une entreprise qui, pendant douze ans, a fait le choix actif de nier plutôt que d'assumer.
En parallèle, une action en justice avait été engagée en Illinois dès février 2020. Un utilisateur, Jordan Stein, avait poursuivi Clarifai en alléguant une violation de l'Illinois Biometric Information Privacy Act (BIPA), une loi qui encadre strictement la collecte et l'usage des données biométriques. Cette procédure illustre l'écart de maturité réglementaire entre certains États américains et le cadre fédéral, qui s'est avéré beaucoup moins contraignant.
Un accord sans amende : les limites structurelles de la FTC
Le 30 mars 2026, la FTC a annoncé un accord avec Match Group et sa filiale OkCupid. L'accord amiable homologué par le tribunal interdit définitivement à Match Group et OkCupid de mal représenter leurs pratiques en matière de données, et impose dix ans de rapports de conformité. Il ne prévoit aucune amende financière.
Cette absence de sanction pécuniaire a suscité des réactions indignées, mais elle s'explique en partie par des contraintes légales. La FTC ne dispose pas de l'autorité nécessaire pour infliger des amendes aux primo-contrevenants en vertu de la Section 5 de la loi FTC. Les pénalités financières ne s'appliquent qu'en cas de violation d'un accord homologué déjà en vigueur, ce que le mécanisme des dix ans de reporting est précisément censé préparer pour l'avenir. En théorie, donc, la prochaine infraction d'OkCupid pourrait être coûteuse.
La Commission a approuvé l'accord à deux voix contre zéro. Ce vote restreint n'est pas anodin : la FTC, dont Donald Trump a écarté les commissaires démocrates, se trouve désormais entièrement sous son contrôle. Plusieurs observateurs ont noté que cette configuration politique n'est pas sans incidence sur l'appétit de l'agence à infliger des sanctions sévères aux entreprises.
Pour les utilisateurs concernés, le bilan est amer. Il n'existe aucun fonds de compensation, aucune action collective à rejoindre. Il s'agit d'une mesure coercitive gouvernementale, non d'un accord privé : les utilisateurs affectés ne peuvent réclamer aucune indemnisation. Les photos, elles, restent chez Clarifai.
Le symptôme d'un système défaillant
L'affaire OkCupid-Clarifai n'est pas un incident isolé. Elle s'inscrit dans une longue série de scandales où des ensembles de données d'utilisateurs, souvent des photos, ont été détournés à des fins d'entraînement de systèmes biométriques commerciaux. Le parallèle avec Clearview AI s'impose : cette société a constitué une base de données de plusieurs milliards d'images en aspirant les réseaux sociaux sans aucun consentement, pour vendre ensuite ses services aux forces de l'ordre.
Ce que le cas OkCupid révèle de particulièrement troublant, c'est la nature du vecteur : non pas un piratage externe, non pas une faille de sécurité, mais un conflit d'intérêts interne. Des fondateurs ont instrumentalisé leur position pour enrichir un investissement personnel aux dépens de la vie privée de millions d'utilisateurs. L'architecture même de la gouvernance d'entreprise, où les fondateurs conservent un accès privilégié aux données après la cession à un grand groupe, a rendu la trahison possible.
La comparaison avec le régime européen est, à cet égard, cinglante. Sous le RGPD, une violation similaire pourrait entraîner des amendes pouvant atteindre 4 % du chiffre d'affaires mondial. Pour une entité de la taille de Match Group, la différence de dissuasion est considérable. Aux États-Unis, le calcul rationnel pour une entreprise reste simple : violer en premier, régler à l'amiable ensuite, et ne rien payer.
Match Group a par ailleurs indiqué que cet accord est distinct du règlement de 14 millions de dollars conclu en août 2025 concernant des pratiques trompeuses en matière d'abonnements et de publicité. Ce n'est donc pas la première fois que le groupe est épinglé par les autorités américaines sans que cela semble avoir fondamentalement modifié sa culture d'entreprise.
L'accord interdit à OkCupid et Match de déformer leurs pratiques relatives à la collecte, l'utilisation, la divulgation ou la suppression des données personnelles, notamment les photos, les données démographiques et de géolocalisation. Dix ans de rapports de conformité permettront théoriquement à la FTC de surveiller le respect de cet engagement. Mais sans véritable épée de Damoclès financière suspendue au-dessus de leur tête, la question demeure : pourquoi une entreprise changerait-elle de comportement quand le coût de la faute est nul ?
Sources : FTC, Clarifai, New York Times
Et vous ?
La FTC, structurellement incapable d'infliger des amendes aux primo-contrevenants, est-elle encore un régulateur crédible en matière de vie privée, ou s'est-elle transformée en agence de validation des mauvaises pratiques ?
Répondre avec citation
Partager