Trois millions de photos. Des selfies de profil, des clichés soigneusement choisis pour séduire, parfois pris dans l’intimité d’une chambre. Pendant des années, ces images envoyées par les utilisateurs d’OkCupid ont nourri les algorithmes d’une entreprise de reconnaissance faciale, sans que personne n’ait jamais donné son accord.
La Federal Trade Commission (FTC), le gendarme américain de la consommation, vient de boucler un accord avec Match Group et sa filiale OkCupid pour clore cette affaire. Le résultat : zéro amende, zéro indemnisation pour les victimes, et une simple promesse de ne plus recommencer.
Des photos de dating partagées pour entraîner une IA
Les faits remontent à 2014. Clarifai, une startup new-yorkaise spécialisée dans la reconnaissance visuelle par intelligence artificielle, contacte l’un des fondateurs d’OkCupid. L’objectif : obtenir un accès massif à des jeux de données photographiques pour entraîner ses modèles. Le lien entre les deux entreprises n’a rien de commercial. Les fondateurs d’OkCupid sont investisseurs financiers dans Clarifai, selon la plainte fédérale déposée par la FTC.
OkCupid ouvre les vannes. Clarifai reçoit l’accès à près de trois millions de photos d’utilisateurs, accompagnées de données démographiques et de géolocalisation. Aucun contrat formel, aucune restriction d’usage, aucune limite de durée. L’appli de rencontre, qui comptait alors des dizaines de millions d’inscrits, n’a prévenu personne.
Sa propre politique de confidentialité promettait pourtant que les données personnelles ne seraient partagées qu’avec des « prestataires, partenaires commerciaux ou entités affiliées ». Clarifai ne cochait aucune de ces cases.
Le New York Times pose des questions, OkCupid nie tout
L’affaire aurait pu éclater bien plus tôt. Quand le New York Times enquête sur les pratiques de Clarifai et découvre que la startup a obtenu d’importants jeux de données depuis OkCupid, l’appli de rencontre choisit de mentir. Face aux journalistes et à ses propres utilisateurs, OkCupid affirme n’avoir aucun lien avec l’entreprise d’IA.
La FTC va plus loin dans ses accusations : Match Group et OkCupid auraient aussi tenté de freiner l’enquête fédérale. L’agence a dû passer par un tribunal pour forcer les entreprises à remettre les documents demandés via une procédure appelée Civil Investigative Demand, l’équivalent d’une assignation à comparaître.
« La FTC fait respecter les engagements de confidentialité pris par les entreprises », a déclaré Christopher Mufarrige, directeur du Bureau de protection des consommateurs. « Nous enquêterons et, si nécessaire, agirons contre les entreprises qui promettent de protéger vos données mais ne tiennent pas parole. »
Clarifai, la discrète machine à reconnaître les visages
Fondée en 2013 par Matthew Zeiler, Clarifai développe des outils de reconnaissance d’images et de vidéos alimentés par l’IA. L’entreprise a levé 101 millions de dollars auprès de fonds comme New Enterprise Associates et Union Square Ventures, selon Tracxn. Ses technologies servent à identifier des objets, des scènes, des visages, et sont utilisées dans des secteurs aussi variés que la modération de contenu, la sécurité ou le commerce en ligne.
Avec les photos d’OkCupid, Clarifai disposait d’un trésor : des millions de visages réels, accompagnés d’informations sur l’âge, le genre, la localisation. Le type de jeu de données que les chercheurs en IA s’arrachent pour entraîner des modèles de reconnaissance faciale performants.
Zéro amende, zéro compensation : le prix de vos données intimes
L’accord signé le 30 mars 2026, validé à l’unanimité par les deux commissaires de la FTC, interdit « de manière permanente » à OkCupid et Match Group de mentir sur la collecte, l’utilisation ou le partage de données personnelles. Les entreprises devront aussi se soumettre à un suivi de conformité, sous peine de sanctions futures.
Concrètement, les utilisateurs dont les photos ont été partagées ne toucheront rien. Aucune pénalité financière n’a été imposée. OkCupid a déclaré à Engadget ne reconnaître « aucun acte répréhensible » et assure que ses pratiques actuelles sont différentes. « Nous avons renforcé nos pratiques de confidentialité et notre gouvernance des données », a ajouté un porte-parole de l’appli.
Match Group, maison-mère d’OkCupid mais aussi de Tinder, Hinge, Meetic et une vingtaine d’autres applications de rencontre, n’a pas commenté.
Les applis de rencontre, angle mort de la vie privée
Ce scandale s’inscrit dans un contexte plus large. Selon une étude Pew Research de 2025, 46 % des utilisateurs de dating apps déclarent avoir vécu une expérience négative liée à la sécurité ou à la vie privée. Les signalements de catfishing, de captures d’écran détournées et de fuites de données progressent chaque année.
OkCupid n’en est pas à son premier problème. En 2020, des chercheurs en sécurité avaient identifié des failles permettant d’accéder aux informations de compte des utilisateurs. Les vulnérabilités avaient été corrigées rapidement, mais elles illustraient déjà la fragilité des protections mises en place.
Le problème dépasse une seule appli. Les plateformes de rencontre collectent parmi les données les plus sensibles qui existent : orientation sexuelle, préférences intimes, photos personnelles, localisation en temps réel. Et les régulateurs peinent à imposer des sanctions proportionnées aux risques.
Quand les fondateurs ouvrent la porte aux investisseurs
Le détail le plus troublant de cette affaire reste le mécanisme du partage. Clarifai n’a pas piraté les serveurs d’OkCupid, n’a pas exploité de faille technique. La startup a simplement demandé, et les fondateurs ont dit oui, parce qu’ils étaient investisseurs dans l’entreprise demandeuse. Un conflit d’intérêts pur, au détriment de millions d’utilisateurs qui n’ont jamais eu leur mot à dire.
La plainte de la FTC, déposée devant le tribunal fédéral du district nord du Texas, souligne que ce partage s’est fait « sans aucune restriction formelle ou contractuelle sur l’utilisation des informations ». Clarifai pouvait, en théorie, exploiter ces photos comme bon lui semblait.
Le vote de la FTC a été unanime (2-0). L’accord doit encore être validé par un juge fédéral pour avoir force de loi. Si OkCupid ou Match Group violent les termes de cet accord à l’avenir, ils s’exposent alors à de véritables sanctions financières. La question reste ouverte : quand une entreprise livre trois millions de photos intimes à une IA sans prévenir personne, est-ce qu’une promesse de bonne conduite suffit ?
