L'organisme de protection des données du Royaume-Uni a condamné à payer une amende la société controversée de reconnaissance faciale Clearview AI, lui ordonnant de cesser de collecter les données personnelles des Britanniques, de supprimer celles qu'elle possède déjà et de payer une amende de 7,5 millions de livres sterling (environ 8,84 millions d'euros).
La décision de l'ICO intervient après une enquête lancée en 2020 en collaboration avec le commissaire à l'information australien pour voir si Clearview avait enfreint l'Australian Privacy Act ou le UK Data Protection Act 2018.
L'ICO, qui lui a infligé une amende inférieure à la moitié des 17 millions de livres sterling initialement envisagés, a regretté le fait que la société n'avait pas « de processus en place pour empêcher la conservation indéfinie des données ». En plus de l'amende, il a été ordonné à Clearview de cesser de rassembler les données et de supprimer toutes les informations des résidents britanniques de ses systèmes.
Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l'entreprise indique que c'est un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ».
Son fonctionnement est simple : vous prenez une photo d'une personne, la téléchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuie sur une base de données de plus de 10 milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web.
Chose légale ou pas, plusieurs rapports publiés en 2020 ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, pendant plus d'un an avant que la société ne fasse l'objet d'un examen public, l'application avait été librement utilisée par les investisseurs, les clients et les amis de la société. Des personnes proches de Clearview ont utilisé leur technologie de reconnaissance faciale lors de fêtes, de réunions d'affaires, etc. faisant des démonstrations de son potentiel pour le plaisir ou l'utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.
Pour sa défense, Hoan Ton-That, cofondateur de l'entreprise, a expliqué que des comptes d'essai ont été fournis à des investisseurs potentiels et actuels, ainsi qu'à d'autres partenaires stratégiques, afin qu'ils puissent tester l'application.
Clearview était inconnu du grand public jusqu'en janvier dernier 2020, lorsqu'il a été rapporté que la start-up avait développé un système de reconnaissance faciale révolutionnaire qui était utilisé par des centaines d'agences d'application de la loi.
La situation au Royaume-Uni
Fin novembre 2021, le gendarme britannique du numérique a publiquement envisagé de punir Clearview à la suite d'une enquête lancée l'année d'avant avec le commissaire à l'information australien. L'ICO (Information Commissioner’s Office) pense que l'entreprise américaine a enfreint les règles britanniques de protection des données, entre autres, en n'ayant pas de « raison légitime » pour collecter les photos et informations personnelles des personnes, et en n'étant pas transparente sur la manière dont les données ont été utilisées et stockées pour ses applications de reconnaissance faciale.
Comme l'a dit le régulateur :
« Les images de la base de données de Clearview AI Inc sont susceptibles d'inclure les données d'un nombre important de personnes du Royaume-Uni et peuvent avoir été recueillies à l'insu des personnes à partir d'informations accessibles au public en ligne, y compris les plateformes de médias sociaux. L'ICO comprend également que le service fourni par Clearview AI Inc a été utilisé à titre d'essai gratuit par un certain nombre d'organismes d'application de la loi britanniques, mais que cet essai a été interrompu et que les services de Clearview AI Inc ne sont plus proposés au Royaume-Uni ».
« Je suis très préoccupé par le fait que les données personnelles ont été traitées d'une manière à laquelle personne au Royaume-Uni ne s'attendait », a ajouté Elizabeth Denham, commissaire à l'information de Blighty, dans un communiqué. « Il est donc normal que l'ICO alerte les gens sur l'ampleur de cette violation potentielle et sur les mesures proposées que nous prenons ».
Selon des documents divulgués, le logiciel de Clearview a été testé au Royaume-Uni par la police métropolitaine, le ministère de la Défense et la National Crime Agency, ainsi que par la police du North Yorkshire, du Northamptonshire, du Suffolk et du Surrey. L'Université de Birmingham a également testé la technologie. Bien que ses algorithmes ne soient plus utilisés au Royaume-Uni, Denham a averti que le parvenu téléchargeait peut-être encore des images à partir des pages de médias sociaux des gens.
« Les preuves que nous avons rassemblées et analysées suggèrent que Clearview AI Inc était et pourrait continuer à traiter des volumes importants d'informations sur les Britanniques à leur insu », a-t-elle déclaré. « Nous voulons donc assurer au public britannique que nous examinons ces violations présumées et que nous les prenons très au sérieux ».
L'amende de plusieurs millions de livres n'était encore qu'au stade de la proposition. Clearview avait le temps de discuter de ce problème avec le gendarme. Bien entendu, le montant pouvait varier et une décision finale devait être prise au plus tard en mi-2022. C'est désormais chose faite.
Une amende de 7,5 millions de livres
L'organisme de protection des données du Royaume-Uni a condamné à payer une amende la société controversée de reconnaissance faciale Clearview AI, lui ordonnant de cesser de collecter les données personnelles des Britanniques, de supprimer celles qu'elle possède déjà et de payer une amende de 7,5 millions de livres sterling (environ 8,84 millions d'euros).
Pour défendre son modèle commercial, le patron de Clearview AI a précédemment déclaré que les images, principalement téléchargées par les personnes concernées elles-mêmes, étaient accessibles au public, et qu'il ne voyait pas pourquoi il ne pouvait pas les rassembler et les rechercher, comparant ses actions à celui du géant de la recherche sur le Web Google. Le PDG Hoan Ton-That a fait remarquer à l'époque : « Si c'est public, cela pourrait être à l'intérieur du moteur de recherche de Google, je ne comprends pas pourquoi cela ne pourrait pas également être à l'intérieur du nôtre ».
John Edwards, commissaire à l'information du Royaume-Uni, a déclaré à propos de l'action :
« Clearview AI Inc a collecté plusieurs images de personnes dans le monde entier, y compris au Royaume-Uni, à partir de divers sites Web et plateformes de médias sociaux, créant une base de données contenant plus de 20 milliards d'images. L'entreprise permet non seulement d'identifier ces personnes, mais surveille efficacement leur comportement et le propose comme un service commercial. C'est inacceptable. C'est pourquoi nous avons agi pour protéger les personnes au Royaume-Uni en infligeant une amende à l'entreprise et en émettant un avis d'exécution ».
L'ICO a constaté qu'il avait enfreint le RGPD du Royaume-Uni en « ne respectant pas les normes de protection des données plus élevées requises pour les données biométriques » (classées comme « données de catégorie spéciale » en vertu du RGPD et du RGPD du Royaume-Uni) ; ne pas utiliser les informations d'une manière « équitable et transparente » ; ne pas avoir de motif légitime pour le collecter ; et ne pas avoir mis en place de processus pour empêcher que les données soient conservées « indéfiniment ».
Enfin, l'ICO a déclaré que la société avait illégalement demandé « des informations personnelles supplémentaires » (y compris des photos), lorsque des membres du public l'ont approchée pour lui demander si elles figuraient dans leurs livres - probablement pour vérifier les images dont elle dispose déjà. « Cela a peut-être eu un effet dissuasif sur les personnes qui souhaitent s'opposer à la collecte et à l'utilisation de leurs données », a noté le régulateur.
James Castro-Edwards, avocat spécialiste de la protection de la vie privée et du cyberespace, du cabinet d'avocats Arnold & Porter, a déclaré à propos de l'action :
« Le RGPD (et le RGPD britannique), qui aura quatre ans cette semaine, comprend un certain nombre d'exigences spécifiques concernant les nouvelles des technologies telles que l'IA, qui traitent des données personnelles. Comme pour toute autre activité de traitement, les entreprises doivent s'assurer que ces systèmes respectent les principes, tels que la légalité, l'équité et la transparence, ainsi que ceux de la vie privée dès la conception et par défaut ».
La réaction de Clearview
Clearview AI a fourni une déclaration de Lee Wolosky, un partenaire de Jenner and Block, qui a déclaré : « Bien que nous apprécions le désir de l'ICO de réduire sa sanction pécuniaire sur Clearview AI, nous maintenons néanmoins notre position selon laquelle la décision d'imposer une amende est incorrecte du point de vue du droit ».
« Clearview AI n'est pas soumis à la juridiction de l'ICO, et Clearview AI ne fait pas affaire au Royaume-Uni pour le moment ».
Le PDG de la société, Hoan Ton-That, a également déclaré qu'il était « profondément déçu que le commissaire à l'information du Royaume-Uni ait mal interprété ma technologie et mes intentions. J'ai créé la technologie de reconnaissance faciale consécutive connue dans le monde entier. Mon entreprise et moi avons agi dans le meilleur intérêt du Royaume-Uni et de son peuple en aidant les forces de l'ordre à résoudre des crimes odieux contre des enfants, des personnes âgées et d'autres victimes d'actes sans scrupules ».
Une société qui n'est pas autorisée à déployer son activité dans plusieurs pays
En France, la CNIL a ordonné le 21 décembre 2021 à Clearview de cesser toute activité de scraping sur le territoire français36 en raison de diverses infractions au RGPD. En novembre dernier, l'autorité britannique de protection des données a infligé une amende de 17 millions de livres sterling à l'entreprise après avoir constaté que ses pratiques, notamment la collecte de selfies de personnes sans leur consentement à partir de séquences de caméras de sécurité ou de photos, enfreignaient les lois nationales sur la protection des données.
L'agence italienne de protection des données a annoncé une amende de 20 millions d'euros pour violation du droit de l'UE. Elle a également ordonné à l'entreprise controversée de supprimer toutes les données sur les Italiens qu'elle détient et elle interdit tout traitement ultérieur de la biométrie faciale de ses citoyens.
« Les conclusions ont révélé que les données personnelles détenues par l'entreprise, y compris les données biométriques et de géolocalisation, sont traitées illégalement, sans base légale adéquate, ce qui ne peut certainement pas être l'intérêt légitime de l'entreprise américaine », a déclaré le Garante dans un communiqué.
Parmi les autres violations du règlement général sur la protection des données (RGPD) qu'il a identifiées, citons les obligations de transparence (du fait que Clearview n'a pas suffisamment informé les utilisateurs de ce qu'il faisait avec leurs selfies) ; la violation de la limitation des finalités et utilisation des données des utilisateurs à des fins autres que celles pour lesquelles elles ont été publiées en ligne ; ainsi que des violations des règles de conservation des données sans limites de stockage.
« L'activité de Clearview AI viole donc les libertés des personnes concernées, y compris la protection de la confidentialité et le droit de ne pas être discriminé », a également déclaré l'autorité.
La société a également été interdite en Suède et en Australie.
Source : ICO (1, 2)
Et vous ?
Que pensez-vous de la sanction infligée par l'ICO ? Vous semble-t-elle légitime ? Dans quelle mesure ? Vous semble-t-elle proportionnée ? Pourquoi ?
Que pensez-vous de la posture de Clearview AI qui estime que si les informations sont publiques, alors l'entreprise peut s'en servir au même titre que le moteur de recherche de Google ?
Clearview AI condamné à payer une amende de 7,5 Ms £ en UK pour avoir alimenté son IA de reconnaissance faciale avec des photos collectées sans autorisation
Clearview AI condamné à payer une amende de 7,5 Ms £ en UK pour avoir alimenté son IA de reconnaissance faciale avec des photos collectées sans autorisation
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !