Reconnaissance faciale : Clearview IA condamnée à 20 millions d’euros par la Cnil
La Commission nationale de l’informatique et des libertés (Cnil) a prononcé le 20 octobre 2022 une sanction de 20 M€ à l’encontre de la société américaine Clearview AI pour collecte et utilisation de photographies ne respectant pas le RGPD.
![ClearviewClearview condamnée à 20 millions d’euros par la Cnil – Crédit : Alexander/AdobeStock condamnée à 20 millions d’euros par la Cnil – Crédit : Alexander-AdobeStock Ceci est une légende Alt](https://www.faceaurisque.com/wp-content/uploads/2022/10/Clearview-condamnee-a-20-millions-deuros-par-la-Cnil-Credit-Alexander-AdobeStock.jpeg)
Clearview IA est une jeune entreprise américaine de reconnaissance faciale. Cette start-up a développé un logiciel qui permet d’identifier une personne avec sa photographie. Pour ce faire, elle « aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux », explique la Commission nationale de l’informatique et des libertés, et en extrait des visages.
Clearview IA a ainsi constitué une banque de 20 milliards d’images qu’elle commercialise sur Internet, notamment aux forces de l’ordre américaines afin qu’elles identifient les auteurs d’infractions, mais aussi à des sociétés privées.
Or, tout ceci se fait sans le consentement des personnes concernées.
Des alertes à la Cnil
Entre mai et décembre 2020, plusieurs personnes, ne parvenant pas à exercer leur droit d’accès et d’effacement auprès de Clearview, ont saisi la Cnil. L’ONG Privacy international, qui milite notamment contre la violation de la vie privée, a à son tour saisi d’une plainte la Commission le 27 mai 2021.
Ces différentes plaintes ont conduit à l’ouverture d’une enquête par la Cnil qui s’est également appuyé sur ses homologues européens pour mener à bien les investigations. Cette coopération européenne a permis le partage des résultats des enquêtes de chacune des autorités de contrôle.
D’abord une mise en demeure
Et ainsi, pour manquement aux articles 6, 12, 15 et 17 du RGPD, le 26 novembre 2021, la Cnil a mis Clearview AI en demeure de :
- « cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées. »
![Clearview condamnée à 20 millions d’euros par la Cnil – Crédit: Ascannio/AdobeStock Clearview condamnée à 20 millions d’euros par la Cnil - Crédit: Ascannio/AdobeStock](https://www.faceaurisque.com/wp-content/uploads/2022/10/Clearview-condamnee-a-20-millions-deuros-par-la-Cnil-Credit-Ascannio-AdobeStock.jpeg)
Puis la sanction
Clearview AI disposait alors de deux mois pour obtempérer. Mais elle n’a pas donné suite à cette mise en demeure. Aussi, la présidente de l’autorité française de contrôle a saisi la formation restreinte en charge des sanctions. Celle-ci a prononcé la sanction pécuniaire maximale, soit 20 millions d’euros.
Cette sanction est assortie d’une astreinte de 100 000 € par jour de retard au-delà de deux mois.
![Clearview condamnée à 20 millions d’euros par la Cnil – Infographie Cnil Clearview condamnée à 20 millions d’euros par la Cnil - Infographie Cnil](https://www.faceaurisque.com/wp-content/uploads/2022/10/Clearview-condamnee-a-20-millions-deuros-par-la-Cnil-Infographie-Cnil.jpg)
Que compte faire Clearview AI ?
Dans un communiqué transmis à l’AFP, Hoan Ton-That, le n°1 de l’entreprise américaine, explique qu’« il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur internet, et il est donc impossible de supprimer les données des résidents français. »
Il a également précisé que Clearview AI n’avait pas d’enseigne commerciale ni de clients dans l’Union européenne, et que son entreprise n’avait pas d’activité la soumettant au RGPD.
Des précédents
L’étau se resserre. En effet, Clearview IA avait déjà été condamnée à de fortes amendes cette année par le Royaume-Uni (8,5 M€), l’Italie et la Grèce (20 M€ chacun). Et à supprimer les données personnelles des habitants de ces pays.
Elle a également était attaquée aux États-Unis dans l’Illinois par l’association Aclu (Union américaine pour les libertés civiles) pour non-respect des lois de cet État sur la confidentialité des données biométriques. À la suite de quoi, la start-up a dû accepter, le 9 mai 2022, de « ne plus vendre sa base de données biométriques à des entreprises privées », note Le Monde. Le journal poursuit : « L’État de l’Illinois et sa police ne pourront plus y accéder, et ce pendant cinq ans. En revanche, les services fédéraux, comme le service des douanes et de la protection des frontières, ainsi que les forces de l’ordre des autres États, seront toujours autorisés. »
![Martine-Porez](https://www.faceaurisque.com/wp-content/uploads/2024/01/Martine-Porez.jpg)
Martine Porez – Journaliste
Les plus lus…
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l'Agence nationale de sécurité des systèmes…
La directive (UE) 2024/1785 du Parlement européen et du Conseil du 24 avril 2024 modifiant la directive 2010/75/UE du…
Le règlement européen sur l'intelligence artificielle, ou IA Act, a été publié au Journal officiel de l'Union européenne le…
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a lancé le 15 juillet 2024 son CyberDico, un dictionnaire…
Après avoir fêté ses 20 ans d’existence, la directive « Machines » de 2006 tirera sa révérence en 2027…
Drivecase, spécialiste de la prévention routière, propose des solutions pour renforcer les actions de sensibilisation dans le cadre professionnel.…