Reconnaissance faciale : la CNIL sanctionne l’entreprise américaine Clearview AI d’une amende de 20 millions d’euros 

Publié par le dans , , | Consulté 326 Fois

Le 20 octobre 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 20 millions d’euros à l’encontre de la société américaine controversée Clearview Al, spécialisée dans la reconnaissance faciale. 

L’utilisation par Clearview AI du web scraping 

Créée en 2017 par Hoan-Ton-Tat, l’entreprise américaine est connue pour son logiciel de reconnaissance faciale qui aspire des photographies et des vidéos disponibles sur les sites web, notamment sur les réseaux sociaux (Facebook, Instagram,…). Ce logiciel utilise un « automated image scraper », qui permet de rechercher et de collecter toute photographie qu’il va considérer comme étant un visage humain. Le web scraping permet alors d’extraire des données d’un site web par le biais d’un logiciel, d’un script ou encore d’un programme. 

Toutes les photographies extraites sont ainsi réunies dans une base de données, qui rassemblerait aujourd’hui plus de 30 milliards de visages du monde entier. Une fois cette extraction réalisée, il est alors possible d’identifier une personne à partir de sa photographie.

Décrit comme un véritable moteur de recherche par son créateur, ce logiciel de reconnaissance faciale est aujourd’hui utilisé par les forces de l’ordre aux États-Unis, mais également dans plusieurs autres pays, notamment pour identifier les auteurs d’infractions. 

L’extraction de données biométriques 

Comme l’explique la CNIL dans sa délibération du 17 octobre 2022, Clearview AI constitue un gabarit biométrique, c’est-à-dire « une donnée biométrique permettant, si elle est fiable, d’identifier la personne de façon unique à partir d’une photographie ». Pour rappel, une donnée biométrique est considérée comme une donnée sensible. 

Le Règlement Général sur la Protection des Données (RGPD) précise que pour qu’une donnée sensible puisse être collectée, la personne concernée doit avoir donné son consentement exprès. Or, la grande majorité des personnes dont les photographies ont été extraites et placées dans le moteur de recherche n’ont pas donné leur consentement, et une violation de la vie privée peut être caractérisée. 

C’est pourquoi, le New York Times avait décidé en janvier 2020 de publier une enquête intitulée « L’entreprise secrète qui pourrait mettre fin à la vie privée telle que nous la connaissons ». Suite à cet article, des particuliers ont commencé à adresser plusieurs plaintes à la CNIL. Ce n’est qu’un an plus tard, soit en 2021, que l’ONG Privacy International, qui lutte notamment contre les violations de la vie privée, va elle aussi adresser une plainte à la CNIL. 

La mise en demeure de la CNIL en date du 16 décembre 2021

En l’absence d’établissement du responsable de traitement de Clearview AI sur le territoire européen, l’article 55 du RGPD précise que chaque autorité nationale de contrôle est compétente pour connaitre des traitements effectués sur son territoire. Suite aux investigations réalisées, la CNIL avait décidé de mettre en demeure la société de reconnaissance faciale le 16 décembre 2021. Deux manquements au RGPD avaient été constatés : 

– une collecte d’images et une utilisation des données biométriques sans base légale ;

– l’absence de prise en compte satisfaisante et effective des droits des personnes.

Clearview AI avait alors deux mois pour cesser les manquements constatés et supprimer les données. Toutefois, la société américaine n’a rien fait pour se conformer au RGPD. La présidente de la CNIL, Marie-Laure Denis a, suite à cette inaction, décidé de saisir la formation restreinte, qui a la possibilité de prononcer des sanctions. 

Les manquements au RGPD par Clearview AI sanctionnés par la CNIL

La formation restreinte de la CNIL en date du 20 octobre 2022 a alors sanctionné Clerview AI par une amende de 20 millions d’euros pour trois manquements principaux au RGPD. 

Tout d’abord, la CNIL relève un manquement à l’article 6 du RGPD lié à la licéité du manquement. Pour être considéré comme licite, le traitement doit répondre à au moins une des bases légales listées dans l’article, ce qui n’est pas le cas. En effet, le moteur de recherche ne repose ni sur le consentement de la personne concernée, ni sur un intérêt légitime. Clearview AI doit alors cesser la collecte et l’usage des données de personnes qui se trouvent sur le territoire français tant que le moteur de recherche n’a pas de base légale. 

Ensuite, la CNIL constate un manquement aux articles 12, 15 et 17 du RGPD relatifs aux droits des personnes. En effet, la société américaine entrave l’exercice du droit d’accès aux personnes en limitant l’exercice de ce droit dans les douze derniers mois et en limitant ce droit d’accès à deux fois par an. De plus, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont faites. Clearview AI doit ainsi faciliter l’exercice des droits des personnes. 

Enfin, la CNIL sanctionne Clearview AI pour un manquement à l’article 31 du RGPD relatif à l’obligation de coopération avec les services de la CNIL. La société n’a en effet, pas répondu ou que de manière partielle aux sollicitations de la CNIL.

Amende maximale de 20 millions d’euros pour Clearview AI

En application de l’article 83 du RGPD, la CNIL a prononcé la sanction pécuniaire maximale en cas de violation du consentement et des droits des personnes : 20 millions d’euros. La CNIL aurait pu prononcer une amende proportionnée au chiffre d’affaires mondial total de Clearview AI (4% du chiffre d’affaires). Toutefois, Clearview AI ne publie pas ses comptes. 

Clearview a désormais deux mois pour respecter les injonctions de la CNIL, sous peine d’une astreinte de 100 000 euros par jour de retard. Néanmoins, Hoan-Ton-That semble ne pas être en accord avec la sanction expliquant dans un communiqué transmis à l’Agence France Presse que « Il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur Internet, et il est donc impossible de supprimer les données des résidents français ». De plus, il a précisé qu’il n’avait pas de clients en France ou dans l’Union Européenne et que par conséquent, sa société n’était pas soumise au RGPD. Si la société américaine souhaite contester la sanction, elle pourra toujours le faire dans un délai de quatre mois à compter de la notification de la décision devant le conseil d’État. 

Des manquements au RGPD constatés dans d’autres pays 

Précisons également que la société américaine a déjà été sanctionnée dans d’autres pays pour sensiblement les mêmes raisons, notamment en mars 2022 en Italie (20 millions d’euros), en mai 2022 au Royaume-Uni (8,85 millions d’euros) ou encore en juillet 2022 en Grèce (20 millions d’euros)… 

_________________________________________________________________________________________________

SOURCES :