La CNIL a jugé l'année dernière que Clearview traitait illégalement des données personnelles et a ordonné à l'entreprise d'y mettre fin en décembre 2021. Cependant, selon le gendarme du numérique, l'entreprise spécialisée dans la reconnaissance faciale n'a toujours pas répondu à sa mise en demeure, ce qui lui a valu une amende de 20 millions d'euros. Outre cette amende, la CNIL a de nouveau enjoint l'entreprise de cesser de collecter les données des personnes résidant en France et de supprimer les données qu'elle avait déjà collectées.Le gendarme français du numérique a déclaré qu'il y avait « des risques très graves pour les droits fondamentaux des personnes concernées » et a donné à l'entreprise deux mois pour se conformer à sa mise en demeure, sous peine d'encourir des amendes allant de 100 000 € par jour.
Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l'entreprise indique que c'est un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ».
Son fonctionnement est simple : vous prenez une photo d'une personne, la téléchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuie sur une base de données de plus de trois milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web.
Clearview a donc construit sa base de données en prenant des images à partir de réseaux sociaux et d'autres sources en ligne sans le consentement des sites Web ou des personnes photographiées. Facebook, Google, Twitter et YouTube ont exigé que l'entreprise cesse de prendre des photos de leurs sites et supprime celles qui ont été précédemment prises. Clearview a fait valoir que sa collecte de données est protégée par le premier amendement.
Chose légale ou pas, plusieurs rapports publiés en 2020 ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, pendant plus d'un an avant que la société ne fasse l'objet d'un examen public, l'application avait été librement utilisée par les investisseurs, les clients et les amis de la société. Des personnes proches de Clearview ont utilisé leur technologie de reconnaissance faciale lors de fêtes, de réunions d'affaires, etc. faisant des démonstrations de son potentiel pour le plaisir ou l'utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.
Pour sa défense, Hoan Ton-That, cofondateur de l'entreprise, a expliqué que des comptes d'essai ont été fournis à des investisseurs potentiels et actuels, ainsi qu'à d'autres partenaires stratégiques, afin qu'ils puissent tester l'application.
Clearview était inconnu du grand public jusqu'en janvier dernier 2020, lorsqu'il a été rapporté que la start-up avait développé un système de reconnaissance faciale révolutionnaire qui était utilisé par des centaines d'agences d'application de la loi.
La CNIL met en demeure CLEARVIEW AI, qui doit cesser la réutilisation de photographies accessibles sur internet
À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.
Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société CLEARVIEW AI en Europe.
Les investigations menées par la CNIL ont permis de constater deux manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).
Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD)
Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.
En effet, cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel.
Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur internet de plusieurs dizaines de millions d’internautes en France. Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des Etats à des fins policières.
La gravité de ce manquement conduit la présidente de la CNIL à enjoindre à Clearview AI de cesser, faute de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.
Les droits des personnes non respectés (articles 12, 15 et 17 du RGPD)
Les plaintes reçues par la CNIL ont révélé les difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société Clearview AI.
D’une part, la société ne facilite pas l’exercice du droit d’accès des personnes concernées :
- en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
- en restreignant l’exercice de ce droit à deux fois par an, sans justification ;
- en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne.
D’autre part, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne répond pas du tout aux demandes.
En conséquence, la présidente de la CNIL a décidé de mettre la société CLEARVIEW AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.
La société CLEARVIEW AI disposait d’un délai de deux mois à compter de décembre 2021 pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Le gendarme français du numérique a prévenu que si l'entreprise ne s'était pas conformée à l'issue de ce délai, la présidente de la CNIL aura la possibilité de saisir la formation restreinte de la CNIL qui pourrait prononcer une sanction, notamment pécuniaire.
À la suite d’une mise en demeure restée sans réponse, la CNIL prononce une sanction de 20 millions d’euros
Le délai de cette mise en demeure est donc largement dépassé et ce n'est que maintenant que la Cnil inflige au groupe une amende, à savoir de 20 millions d'euros. « La société s’est appropriée plus de 20 milliards d’images à travers le monde. Grâce à cette collecte, la société commercialise l’accès à sa base d’images de personnes sous la forme d’un moteur de recherche dans lequel un individu peut être recherché à l’aide d’une photographie. La société offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction », explique la Cnil.
Cette sanction pécuniaire est assortie d’une injonction de supprimer les données des Français déjà collectées, et de cesser toute nouvelle collecte sans base légale. La société a deux mois pour s’exécuter, sous peine d’une astreinte de 100 000 euros par jour de retard au-delà.
Des condamnations similaires en Europe et des poursuites en Amérique
L'Italie inflige une amende de 20 millions d'euros
Une enquête de Garante per la Protezione dei Dati Personali, l'autorité italienne de protection des données, a révélé que la base de données de 10 milliards d'images de visages de l'entreprise comprend celles d'Italiens et de résidents en Italie. La société basée à New York est condamnée à une amende de 20 millions d'euros et devra également supprimer toute biométrie faciale qu'elle détient sur les ressortissants italiens.
« Les conclusions ont révélé que les données personnelles détenues par l'entreprise, y compris les données biométriques et de géolocalisation, sont traitées illégalement, sans base légale adéquate, ce qui ne peut certainement pas être l'intérêt légitime de l'entreprise américaine », a déclaré le Garante dans un communiqué.
Parmi les autres violations du règlement général sur la protection des données (RGPD) qu'il a identifiées, citons les obligations de transparence (du fait que Clearview n'a pas suffisamment informé les utilisateurs de ce qu'il faisait avec leurs selfies) ; la violation de la limitation des finalités et utilisation des données des utilisateurs à des fins autres que celles pour lesquelles elles ont été publiées en ligne ; ainsi que des violations des règles de conservation des données sans limites de stockage.
« L'activité de Clearview AI viole donc les libertés des personnes concernées, y compris la protection de la confidentialité et le droit de ne pas être discriminé », a également déclaré l'autorité.
Dans le communiqué de presse annonçant la sanction, le Garante a également noté qu'il avait ordonné à Clearview de désigner un représentant dans l'UE « afin de faciliter l'exercice des droits des personnes concernées » - une autre exigence légale en vertu du droit de l'UE qu'il a constaté que l'entreprise n'avait pas remplie. Mais l'absence d'une entité Clearview basée dans l'UE rend beaucoup plus difficile pour l'Italie de percevoir une amende.
Bien que le RGPD ait, sur le papier, une portée extraterritoriale (ce qui signifie qu'il s'applique en dehors du bloc à toute personne traitant les données des citoyens de l'UE), l'application contre des entités étrangères qui n'ont pas d'établissements ou de dirigeants locaux à qui infliger des sanctions peut constituer des limites pratiques strictes sur la portée de la loi.
Cela dit, les autorités de protection des données peuvent toujours s'en prendre à toute entité locale cliente de l'entité sanctionnée (comme l'a fait le gendarme suédois l'année dernière, infligeant une amende à une force de police locale pour ce qu'elle a qualifié d'utilisation illégale du logiciel de reconnaissance faciale de Clearview).
Le Royaume-Uni condamne l'entreprise à payer 17 millions de livres sterling
En novembre dernier, l'autorité britannique de protection des données a infligé une amende de 17 millions de livres sterling à l'entreprise après avoir constaté que ses pratiques, notamment la collecte de selfies de personnes sans leur consentement à partir de séquences de caméras de sécurité ou de photos, enfreignaient les lois nationales sur la protection des données....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
