Clearview AI (encore) dans le viseur des autorités européennes de protection des données

Publié par le dans , | Consulté 134 Fois

La société américaine Clearview AI a mis en place un dispositif « d’aspiration » des photographies et vidéos disponibles en ligne, notamment sur les réseaux sociaux. Son fondateur, Hoan Ton-That, décrit le logiciel comme un moteur de recherche pour les visages. La société Clearview AI se targue sur leur site d’être le plus grand réseau de reconnaissance faciale, et d’être l’une des 100 entreprises les plus influentes de 2021.

Le dispositif utilise un « automated image scraper », un outil permettant de rechercher sur le web et de collecter toute image qu’il va considérer comme un visage humain. Ces images passent alors au travers d’un logiciel de reconnaissance faciale afin de constituer une base de données, qui rassemblerait aujourd’hui plus de 10 milliards de visages. Il est important de noter que cette aspiration de données se passe à l’échelle planétaire et ne concerne donc pas uniquement les citoyens américains.

La société commercialise ainsi l’accès à sa base de données, dans laquelle il était possible de retrouver un individu à partir d’une photographie. Actuellement, environ 600 forces de police ont ainsi accès à cette base de données, afin d’identifier des auteurs ou des victimes d’infraction. Dans une vidéo promotionnelle visant le secteur de la police, l’entreprise donne des exemples d’affaires dans lesquelles la base de données de Clearview AI a été utilisée, comme l’intrusion dans le Capitole américain le 6 janvier 2021. De nombreuses autres « success stories » sont accessibles sur leur site.

Sans surprise, la politique de confidentialité accessible sur le site de la société est très sommaire, notamment sur la durée de conservation des données ou sur le droit d’accès des individus, et ne mentionne aucunement la réglementation européenne concernant les données personnelles. Enfin, cette même page permet la mise en œuvre de l’opt-out, c’est-à-dire ici de refuser la vente de ses informations personnelles. Cette possibilité est toutefois uniquement possible pour les résidents de Californie en vertu du Californie Consumer Privacy Act (CCPA).

Le problème posé par ce logiciel en Europe

Cela signifie donc que sans le consentement des personnes, et parfois alors qu’ils l’ignorent, leur image est ainsi conservée de manière indéterminée dans la base de données de la société puis réutilisée. Ce dispositif est illégal au regard du Règlement général sur la protection des données (RGPD). En effet, les personnes apparaissant sur les vidéos ou photographies n’ont jamais donné leur consentement à se retrouver dans cette base de données. Le principe cardinal du RGPD, qui est le consentement de l’individu concerné par les données, est donc violé.

Depuis mai 2020, plusieurs plaintes de particuliers ont été adressées à la CNIL concernant ce traitement. Un an plus tard, l’association Privacy International, une association cherchant à éviter les dérives de la technologie, alerte également la CNIL à ce sujet. En plus de l’absence de consentement, les plaignants mettent en lumière des difficultés pour exercer leurs droits auprès de la société, tels que le droit d’accès ou de rectification.

L’entreprise a déjà été condamnée par les autorités de protection des données personnelles au Canada, en Suède, en Allemagne et en Australie, sans que celles-ci arrivent toutefois à stopper ce traitement illicite de données. C’est dans ce contexte que l’association Privacy International a décidé en mai 2021 de déposer des plaintes devant plusieurs autorités européennes. Chaque autorité européenne est compétente pour agir sur son territoire, en l’absence de tout établissement de la société en Europe.  Actuellement, l’autorité Grecque mène donc une enquête sur la société et ses pratiques.

Des sanctions sont déjà annoncées, comme au Royaume-Uni où l’ICO (Information Commissioner’s Office) a annoncé en novembre 2021 une amende potentielle de 17 millions de livres à l’encontre de Clearview AI, en raison des graves violations aux règles de protection des données personnelles britanniques. A cela s’ajoute une interdiction de continuer le traitement concernant les données des citoyens britanniques et la suppression de ces données.

Décision française

En France, la CNIL (Commission Nationale de l’Informatique et Libertés) a mis en demeure la société Clearview AI le 16 décembre 2021. La CNIL ordonne ainsi de cesser les manquements constatés, qui se rapportent d’abord à la collecte d’images et une utilisation des données biométriques sans base légale, mais aussi l’absence de mise en œuvre des droits des personnes.

Concernant le traitement illicite des données personnelles, celui-ci contrevient à l’article 6 du RGPD qui prévoit qu’un traitement de données repose sur une base légale. Or en l’espèce le logiciel de Clearview AI ne reposant ni sur le consentement de l’individu concerné, ni sur un intérêt légitime, opère un traitement illicite.

Quant à la question des droits des personnes, la société tente d’entraver cet exercice en limitant le droit d’accès aux données collectées dans les 12 derniers mois. Par ailleurs, ce droit d’accès est limité par l’entreprise à deux fois par an, sans aucune justification de cette limitation.

En conséquence, il est demandé à Clearview AI de cesser la collecte et l’utilisation des données de personnes se situant sur le territoire français sans base légale. Par ailleurs, la société doit faciliter l’exercice des droits des personnes concernées comme il est prévu dans le RGPD, et doit ainsi faire droit aux demandes d’effacement.

La société a donc un délai de 2 mois pour se conformer aux injonctions de la CNIL. L’autorité française s’oppose donc à la constitution d’un « gabarit biométrique » dans un but commercial et sans l’accord des individus concernés.

L’association Privacy International, ayant pour but de faire interdire purement et simplement l’activité de l’entreprise, considère ainsi que ces décisions unanimes des autorités de protection des données personnelles rappellent que la présence de données sur Internet n’autorise pas les entreprises privées à les exploiter commercialement. Malgré cette nouvelle victoire en France, il n’est pas certain que ces condamnations refroidissent l’entreprise. En effet, un brevet déposé en 2020 indiquerait que la société semble vouloir commercialiser son logiciel au grand public dans le futur.

Sources :

  • HOAREAU (C.), « Clearview AI l’entreprise américaine controversée accusée de surveillance de masse », IREDIC, 13 juillet 2021
  • MANENS (F.), « Clearview AI envisage la création d’une effrayante app de reconnaissance faciale grand public », numerama, 13 février 2021
  • Décision n° MED-2021-134 du 26 novembre 2021 mettant en demeure la société CLEARVIEW AI 
  • « Reconnaissance faciale : la CNIL met en demeure CLEARVIEW AI de cesser la réutilisation de photographies accessibles sur internet », CNIL, 16 décembre 2021
  • « All we want for Christmas is… Clearview AI to be banned (and looks like it’s happening)! », Privacy International, 17 décembre 2021
  • Privacy Policy, Clearview AI, page consultée le 20 décembre 2021