Reconnaissance faciale : Clearview IA condamnée à 20 millions d’euros par la Cnil
La Commission nationale de l’informatique et des libertés (Cnil) a prononcé le 20 octobre 2022 une sanction de 20 M€ à l’encontre de la société américaine Clearview AI pour collecte et utilisation de photographies ne respectant pas le RGPD.
Clearview IA est une jeune entreprise américaine de reconnaissance faciale. Cette start-up a développé un logiciel qui permet d’identifier une personne avec sa photographie. Pour ce faire, elle « aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux », explique la Commission nationale de l’informatique et des libertés, et en extrait des visages.
Clearview IA a ainsi constitué une banque de 20 milliards d’images qu’elle commercialise sur Internet, notamment aux forces de l’ordre américaines afin qu’elles identifient les auteurs d’infractions, mais aussi à des sociétés privées.
Or, tout ceci se fait sans le consentement des personnes concernées.
Des alertes à la Cnil
Entre mai et décembre 2020, plusieurs personnes, ne parvenant pas à exercer leur droit d’accès et d’effacement auprès de Clearview, ont saisi la Cnil. L’ONG Privacy international, qui milite notamment contre la violation de la vie privée, a à son tour saisi d’une plainte la Commission le 27 mai 2021.
Ces différentes plaintes ont conduit à l’ouverture d’une enquête par la Cnil qui s’est également appuyé sur ses homologues européens pour mener à bien les investigations. Cette coopération européenne a permis le partage des résultats des enquêtes de chacune des autorités de contrôle.
D’abord une mise en demeure
Et ainsi, pour manquement aux articles 6, 12, 15 et 17 du RGPD, le 26 novembre 2021, la Cnil a mis Clearview AI en demeure de :
- « cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées. »
Puis la sanction
Clearview AI disposait alors de deux mois pour obtempérer. Mais elle n’a pas donné suite à cette mise en demeure. Aussi, la présidente de l’autorité française de contrôle a saisi la formation restreinte en charge des sanctions. Celle-ci a prononcé la sanction pécuniaire maximale, soit 20 millions d’euros.
Cette sanction est assortie d’une astreinte de 100 000 € par jour de retard au-delà de deux mois.
Que compte faire Clearview AI ?
Dans un communiqué transmis à l’AFP, Hoan Ton-That, le n°1 de l’entreprise américaine, explique qu’« il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur internet, et il est donc impossible de supprimer les données des résidents français. »
Il a également précisé que Clearview AI n’avait pas d’enseigne commerciale ni de clients dans l’Union européenne, et que son entreprise n’avait pas d’activité la soumettant au RGPD.
Des précédents
L’étau se resserre. En effet, Clearview IA avait déjà été condamnée à de fortes amendes cette année par le Royaume-Uni (8,5 M€), l’Italie et la Grèce (20 M€ chacun). Et à supprimer les données personnelles des habitants de ces pays.
Elle a également était attaquée aux États-Unis dans l’Illinois par l’association Aclu (Union américaine pour les libertés civiles) pour non-respect des lois de cet État sur la confidentialité des données biométriques. À la suite de quoi, la start-up a dû accepter, le 9 mai 2022, de « ne plus vendre sa base de données biométriques à des entreprises privées », note Le Monde. Le journal poursuit : « L’État de l’Illinois et sa police ne pourront plus y accéder, et ce pendant cinq ans. En revanche, les services fédéraux, comme le service des douanes et de la protection des frontières, ainsi que les forces de l’ordre des autres États, seront toujours autorisés. »
Martine Porez – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…
À lire également