La CNIL a jugé l'année dernière que Clearview traitait illégalement des données personnelles et a ordonné à l'entreprise d'y mettre fin en décembre 2021. Cependant, selon le gendarme du numérique, l'entreprise spécialisée dans la reconnaissance faciale n'a toujours pas répondu à sa mise en demeure, ce qui lui a valu une amende de 20 millions d'euros. Outre cette amende, la CNIL a de nouveau enjoint l'entreprise de cesser de collecter les données des personnes résidant en France et de supprimer les données qu'elle avait déjà collectées.Le gendarme français du numérique a déclaré qu'il y avait « des risques très graves pour les droits fondamentaux des personnes concernées » et a donné à l'entreprise deux mois pour se conformer à sa mise en demeure, sous peine d'encourir des amendes allant de 100 000 € par jour.
Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l'entreprise indique que c'est un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ».
Son fonctionnement est simple : vous prenez une photo d'une personne, la téléchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuie sur une base de données de plus de trois milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web.
Clearview a donc construit sa base de données en prenant des images à partir de réseaux sociaux et d'autres sources en ligne sans le consentement des sites Web ou des personnes photographiées. Facebook, Google, Twitter et YouTube ont exigé que l'entreprise cesse de prendre des photos de leurs sites et supprime celles qui ont été précédemment prises. Clearview a fait valoir que sa collecte de données est protégée par le premier amendement.
Chose légale ou pas, plusieurs rapports publiés en 2020 ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, pendant plus d'un an avant que la société ne fasse l'objet d'un examen public, l'application avait été librement utilisée par les investisseurs, les clients et les amis de la société. Des personnes proches de Clearview ont utilisé leur technologie de reconnaissance faciale lors de fêtes, de réunions d'affaires, etc. faisant des démonstrations de son potentiel pour le plaisir ou l'utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.
Pour sa défense, Hoan Ton-That, cofondateur de l'entreprise, a expliqué que des comptes d'essai ont été fournis à des investisseurs potentiels et actuels, ainsi qu'à d'autres partenaires stratégiques, afin qu'ils puissent tester l'application.
Clearview était inconnu du grand public jusqu'en janvier dernier 2020, lorsqu'il a été rapporté que la start-up avait développé un système de reconnaissance faciale révolutionnaire qui était utilisé par des centaines d'agences d'application de la loi.
La CNIL met en demeure CLEARVIEW AI, qui doit cesser la réutilisation de photographies accessibles sur internet
À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.
Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société CLEARVIEW AI en Europe.
Les investigations menées par la CNIL ont permis de constater deux manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).
Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD)
Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.
En effet, cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel.
Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur internet de plusieurs dizaines de millions d’internautes en France. Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des Etats à des fins policières.
La gravité de ce manquement conduit la présidente de la CNIL à enjoindre à Clearview AI de cesser, faute de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.
Les droits des personnes non respectés (articles 12, 15 et 17 du RGPD)
Les plaintes reçues par la CNIL ont révélé les difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société Clearview AI.
D’une part, la société ne facilite pas l’exercice du droit d’accès des personnes concernées :
- en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
- en restreignant l’exercice de ce droit à deux fois par an, sans justification ;
- en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne.
D’autre part, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne répond pas du tout aux demandes.
En conséquence, la présidente de la CNIL a décidé de mettre la société CLEARVIEW...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
