Le gendarme français du numérique a déclaré qu'il y avait « des risques très graves pour les droits fondamentaux des personnes concernées » et a donné à l'entreprise deux mois pour se conformer à sa mise en demeure, sous peine d'encourir des amendes allant de 100 000 € par jour.
Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l'entreprise indique que c'est un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ».
Son fonctionnement est simple : vous prenez une photo d'une personne, la téléchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuie sur une base de données de plus de trois milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web.
Clearview a donc construit sa base de données en prenant des images à partir de réseaux sociaux et d'autres sources en ligne sans le consentement des sites Web ou des personnes photographiées. Facebook, Google, Twitter et YouTube ont exigé que l'entreprise cesse de prendre des photos de leurs sites et supprime celles qui ont été précédemment prises. Clearview a fait valoir que sa collecte de données est protégée par le premier amendement.
Chose légale ou pas, plusieurs rapports publiés en 2020 ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, pendant plus d'un an avant que la société ne fasse l'objet d'un examen public, l'application avait été librement utilisée par les investisseurs, les clients et les amis de la société. Des personnes proches de Clearview ont utilisé leur technologie de reconnaissance faciale lors de fêtes, de réunions d'affaires, etc. faisant des démonstrations de son potentiel pour le plaisir ou l'utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.
Pour sa défense, Hoan Ton-That, cofondateur de l'entreprise, a expliqué que des comptes d'essai ont été fournis à des investisseurs potentiels et actuels, ainsi qu'à d'autres partenaires stratégiques, afin qu'ils puissent tester l'application.
Clearview était inconnu du grand public jusqu'en janvier dernier 2020, lorsqu'il a été rapporté que la start-up avait développé un système de reconnaissance faciale révolutionnaire qui était utilisé par des centaines d'agences d'application de la loi.
La CNIL met en demeure CLEARVIEW AI, qui doit cesser la réutilisation de photographies accessibles sur internet
À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.
Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société CLEARVIEW AI en Europe.
Les investigations menées par la CNIL ont permis de constater deux manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).
Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD)
Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.
En effet, cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel.
Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur internet de plusieurs dizaines de millions d’internautes en France. Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des Etats à des fins policières.
La gravité de ce manquement conduit la présidente de la CNIL à enjoindre à Clearview AI de cesser, faute de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.
Les droits des personnes non respectés (articles 12, 15 et 17 du RGPD)
Les plaintes reçues par la CNIL ont révélé les difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société Clearview AI.
D’une part, la société ne facilite pas l’exercice du droit d’accès des personnes concernées :
- en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
- en restreignant l’exercice de ce droit à deux fois par an, sans justification ;
- en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne.
D’autre part, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne répond pas du tout aux demandes.
En conséquence, la présidente de la CNIL a décidé de mettre la société CLEARVIEW AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.
La société CLEARVIEW AI disposait d’un délai de deux mois à compter de décembre 2021 pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Le gendarme français du numérique a prévenu que si l'entreprise ne s'était pas conformée à l'issue de ce délai, la présidente de la CNIL aura la possibilité de saisir la formation restreinte de la CNIL qui pourrait prononcer une sanction, notamment pécuniaire.
À la suite d’une mise en demeure restée sans réponse, la CNIL prononce une sanction de 20 millions d’euros
Le délai de cette mise en demeure est donc largement dépassé et ce n'est que maintenant que la Cnil inflige au groupe une amende, à savoir de 20 millions d'euros. « La société s’est appropriée plus de 20 milliards d’images à travers le monde. Grâce à cette collecte, la société commercialise l’accès à sa base d’images de personnes sous la forme d’un moteur de recherche dans lequel un individu peut être recherché à l’aide d’une photographie. La société offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction », explique la Cnil.
Cette sanction pécuniaire est assortie d’une injonction de supprimer les données des Français déjà collectées, et de cesser toute nouvelle collecte sans base légale. La société a deux mois pour s’exécuter, sous peine d’une astreinte de 100 000 euros par jour de retard au-delà.
Des condamnations similaires en Europe et des poursuites en Amérique
L'Italie inflige une amende de 20 millions d'euros
Une enquête de Garante per la Protezione dei Dati Personali, l'autorité italienne de protection des données, a révélé que la base de données de 10 milliards d'images de visages de l'entreprise comprend celles d'Italiens et de résidents en Italie. La société basée à New York est condamnée à une amende de 20 millions d'euros et devra également supprimer toute biométrie faciale qu'elle détient sur les ressortissants italiens.
« Les conclusions ont révélé que les données personnelles détenues par l'entreprise, y compris les données biométriques et de géolocalisation, sont traitées illégalement, sans base légale adéquate, ce qui ne peut certainement pas être l'intérêt légitime de l'entreprise américaine », a déclaré le Garante dans un communiqué.
Parmi les autres violations du règlement général sur la protection des données (RGPD) qu'il a identifiées, citons les obligations de transparence (du fait que Clearview n'a pas suffisamment informé les utilisateurs de ce qu'il faisait avec leurs selfies) ; la violation de la limitation des finalités et utilisation des données des utilisateurs à des fins autres que celles pour lesquelles elles ont été publiées en ligne ; ainsi que des violations des règles de conservation des données sans limites de stockage.
« L'activité de Clearview AI viole donc les libertés des personnes concernées, y compris la protection de la confidentialité et le droit de ne pas être discriminé », a également déclaré l'autorité.
Dans le communiqué de presse annonçant la sanction, le Garante a également noté qu'il avait ordonné à Clearview de désigner un représentant dans l'UE « afin de faciliter l'exercice des droits des personnes concernées » - une autre exigence légale en vertu du droit de l'UE qu'il a constaté que l'entreprise n'avait pas remplie. Mais l'absence d'une entité Clearview basée dans l'UE rend beaucoup plus difficile pour l'Italie de percevoir une amende.
Bien que le RGPD ait, sur le papier, une portée extraterritoriale (ce qui signifie qu'il s'applique en dehors du bloc à toute personne traitant les données des citoyens de l'UE), l'application contre des entités étrangères qui n'ont pas d'établissements ou de dirigeants locaux à qui infliger des sanctions peut constituer des limites pratiques strictes sur la portée de la loi.
Cela dit, les autorités de protection des données peuvent toujours s'en prendre à toute entité locale cliente de l'entité sanctionnée (comme l'a fait le gendarme suédois l'année dernière, infligeant une amende à une force de police locale pour ce qu'elle a qualifié d'utilisation illégale du logiciel de reconnaissance faciale de Clearview).
Le Royaume-Uni condamne l'entreprise à payer 17 millions de livres sterling
En novembre dernier, l'autorité britannique de protection des données a infligé une amende de 17 millions de livres sterling à l'entreprise après avoir constaté que ses pratiques, notamment la collecte de selfies de personnes sans leur consentement à partir de séquences de caméras de sécurité ou de photos, enfreignaient les lois nationales sur la protection des données. La société a également été interdite en Suède et en Australie.
La police belge s'est servi illégalement de Clearview AI et n'a pas obtenu de résultats pertinents
Un rapport d’enquête du COC (l’Organe de contrôle fédéral chargé de surveiller l’usage de l’information policière en Belgique) confirme que des représentants des forces de l’ordre belge avaient bien eu recours, de manière « expérimentale », au logiciel de reconnaissance faciale Clearview. L'affaire avait d'abord été démentie, mais fin de l'année dernière, une confirmation que la police fédérale avait bien mené ce genre de missions de recherche a été faite.
Selon le COC, deux membres de la police judiciaire fédérale, attachés à la DJSOC (Direction centrale de la lutte contre la criminalité grave et organisée) avaient assisté à une présentation de Clearview durant une taskforce d’Europol en 2019, à l’initiative du « National Center of Missing and Exploited Children » – une organisation fondée par le Congrès américain, avec laquelle collabore le FBI :
« L’enquête interne a ainsi révélé que des membres de la DGJ/DJSOC, et plus précisément du service Child Abuse, prennent part deux fois par an à une taskforce opérationnelle d’Europol, la Victim Identification Taskforce. La taskforce s’est réunie physiquement en 2019 et sous forme virtuelle en 2020 (en présence du FBI américain). C’est dans ce cadre que des licences de test ont été mises par Europol à la disposition des participants (et donc également de deux membres de la
DJSOC). Selon le commissaire général, ces membres du personnel ont à plusieurs reprises testé/utilisé l’application sur des dossiers non belges durant la taskforce d’Europol et (à leur retour en Belgique) également sur des dossiers du NCMEC américain (le National Center for Missing and Exploited Children). Ils ont également effectué des tests avec des photos d’eux-mêmes et de collègues/connaissances. Selon le courrier du 22 septembre 2021, ces tests n’ont jamais débouché sur des « résultats opérationnels » (opérationnels au sens de « pertinents dans le cadre d’une information »). Selon Clearview, il aurait au total été procédé à 78 consultations et la dernière utilisation remonterait au 10 février 2020. Le commissaire général confirmait dans ce courrier que l’application ne serait pas utilisée par la police fédérale aussi longtemps que le cadre légal ne le permet pas et que, afin d’éviter tout incident similaire à l’avenir, il serait rappelé à tous les membres du personnel qu’une utilisation d’applications ou un traitement de données à caractère personnel à des fins professionnelles n’est possible que moyennant le respect rigoureux des conditions prévues par la loi ».
La situation en Allemagne...
Dans une affaire en Allemagne, l'agence de protection des données de Hambourg a ordonné à Clearview AI de supprimer le hachage mathématique représentant le profil d'un utilisateur après que celui-ci s'est plaint.
...Et en Amérique
Aux États-Unis, Clearview AI a été poursuivie par l'American Civil Liberties Union dans l'État de l'Illinois en 2020 pour avoir violé la loi sur la confidentialité des données biométriques de l'Illinois. Les résultats de cette action en justice ont contribué à la décision de l'entreprise de cesser de vendre son produit à des entreprises privées américaines. Mais les tourments ne s'arrêtent pas là pour l'entreprise.
Clearview AI a également fait l'objet de poursuites judiciaires dans le Vermont, à New York et en Californie. Les plaintes déposées en mai 2021 allèguent également que les images et les métadonnées collectées Clearview sont stockées sur les serveurs de Clearview AI indéfiniment, même après que la source de la donnée a été supprimée ou rendue privée.
En février 2021, les commissaires à la protection de la vie privée du Canada ont estimé que l'extraction des visages par Clearview est "illégale" et crée un système qui « inflige un préjudice général à tous les membres de la société, qui se retrouvent continuellement dans une séance d'identification par la police ».
Source : CNIL
Et vous ?
L'entreprise a-t-elle raison lorsqu'elle affirme qu'elle n'enfreint pas la loi ?
Que pensez-vous des amendes infligées par la CNIL française et ses homologues européens ?
Comment pouvez-vous expliquer un tel retard dans la décision de la CNIL ?
Que pensez-vous de la décision des gendarmes européens du numériques qui ont interdit les activités de Clearview AI sur leurs territoires ?
Voir aussi :
La France somme Clearview AI, l'entreprise américaine spécialisée dans la reconnaissance faciale, de supprimer ses données, elle dispose d'un délai de deux mois pour respecter les injonctions