Reconnaissance faciale : Clearview IA condamnée à 20 millions d’euros par la Cnil
La Commission nationale de l’informatique et des libertés (Cnil) a prononcé le 20 octobre 2022 une sanction de 20 M€ à l’encontre de la société américaine Clearview AI pour collecte et utilisation de photographies ne respectant pas le RGPD.
Clearview IA est une jeune entreprise américaine de reconnaissance faciale. Cette start-up a développé un logiciel qui permet d’identifier une personne avec sa photographie. Pour ce faire, elle « aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux », explique la Commission nationale de l’informatique et des libertés, et en extrait des visages.
Clearview IA a ainsi constitué une banque de 20 milliards d’images qu’elle commercialise sur Internet, notamment aux forces de l’ordre américaines afin qu’elles identifient les auteurs d’infractions, mais aussi à des sociétés privées.
Or, tout ceci se fait sans le consentement des personnes concernées.
Des alertes à la Cnil
Entre mai et décembre 2020, plusieurs personnes, ne parvenant pas à exercer leur droit d’accès et d’effacement auprès de Clearview, ont saisi la Cnil. L’ONG Privacy international, qui milite notamment contre la violation de la vie privée, a à son tour saisi d’une plainte la Commission le 27 mai 2021.
Ces différentes plaintes ont conduit à l’ouverture d’une enquête par la Cnil qui s’est également appuyé sur ses homologues européens pour mener à bien les investigations. Cette coopération européenne a permis le partage des résultats des enquêtes de chacune des autorités de contrôle.
D’abord une mise en demeure
Et ainsi, pour manquement aux articles 6, 12, 15 et 17 du RGPD, le 26 novembre 2021, la Cnil a mis Clearview AI en demeure de :
- « cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées. »
Puis la sanction
Clearview AI disposait alors de deux mois pour obtempérer. Mais elle n’a pas donné suite à cette mise en demeure. Aussi, la présidente de l’autorité française de contrôle a saisi la formation restreinte en charge des sanctions. Celle-ci a prononcé la sanction pécuniaire maximale, soit 20 millions d’euros.
Cette sanction est assortie d’une astreinte de 100 000 € par jour de retard au-delà de deux mois.
Que compte faire Clearview AI ?
Dans un communiqué transmis à l’AFP, Hoan Ton-That, le n°1 de l’entreprise américaine, explique qu’« il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur internet, et il est donc impossible de supprimer les données des résidents français. »
Il a également précisé que Clearview AI n’avait pas d’enseigne commerciale ni de clients dans l’Union européenne, et que son entreprise n’avait pas d’activité la soumettant au RGPD.
Des précédents
L’étau se resserre. En effet, Clearview IA avait déjà été condamnée à de fortes amendes cette année par le Royaume-Uni (8,5 M€), l’Italie et la Grèce (20 M€ chacun). Et à supprimer les données personnelles des habitants de ces pays.
Elle a également était attaquée aux États-Unis dans l’Illinois par l’association Aclu (Union américaine pour les libertés civiles) pour non-respect des lois de cet État sur la confidentialité des données biométriques. À la suite de quoi, la start-up a dû accepter, le 9 mai 2022, de « ne plus vendre sa base de données biométriques à des entreprises privées », note Le Monde. Le journal poursuit : « L’État de l’Illinois et sa police ne pourront plus y accéder, et ce pendant cinq ans. En revanche, les services fédéraux, comme le service des douanes et de la protection des frontières, ainsi que les forces de l’ordre des autres États, seront toujours autorisés. »
Martine Porez – Journaliste
Les plus lus…
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
La biométrie, l'IA (intelligence artificielle) ou encore le cloud computing seront les technologies émergentes les plus demandées par les…
Les attaques de phishing ont atteint un niveau de sophistication sans précédent en 2024, marquant une nouvelle ère dans…