Il ne faut pas abuser de la patience de la Cnil. Après une mise en demeure et plusieurs relances, le gendarme de la vie privée a prononcé cette semaine une amende de vingt millions d’euros à l’encontre de l’entreprise Clearview AI.
Fin 2021, l’autorité avait ordonné à la société de cesser la collecte massive et indiscriminée des photos sur Internet et de supprimer les données concernant les personnes se trouvant sur le territoire français, à la suite de plaintes de particuliers et d’une alerte de l’association Privacy International.
Refuser d’obtempérer
Mais, faute de réponses et de retours satisfaisants, la formation restreinte de la Cnil a décidé lundi 17 octobre de prononcer une amende administrative, assortie d’une injonction de supprimer l’ensemble des données à caractère personnel collectées sur des Français.
Clearview AI est spécialisé dans la reconnaissance faciale et l’intelligence artificielle. À l’aide de cette technologie, l’entreprise scanne toutes les images librement accessibles sur Internet, réseaux sociaux inclus, à la recherche de visage pour ensuite établir une empreinte numérique unique de ce dernier à partir de ses caractéristiques physiques.
Toutes ces données biométriques permettent enfin à la société de commercialiser un moteur de recherche où les clients peuvent télécharger une photo et retrouver toutes les correspondances dans cette base de données géante. “La société a ainsi collecté plus de vingt milliards d’images à travers le monde», note la délibération de la Cnil, rendue publique jeudi 20 octobre.
Aucune base légale
Si Clearview présente sa plateforme comme «un outil de recherche utilisé par les forces de l’ordre pour identifier des auteurs et des victimes d’infractions” par exemple, le gendarme de la vie privée estime qu’elle ne repose sur aucune base légale, alors même que le RGPD encadre très strictement le traitement de telles données, jugées sensibles.
Sans compter que cette collecte massive de photos sur le web, et leur analyse par les logiciels de l’entreprise, ne sont évidemment pas saisies par aucun recueil de consentement. La Cnil reproche également à l’entreprise d’avoir manqué à ses obligations en termes de droit d’accès et de droit d’effacement.
On note que la délibération de l’autorité souligne que Clearview n’a visiblement pas tenté de se défendre vigoureusement contre ce qui lui a été reproché. “La société n’a présenté aucune observation en défense», peut-on lire à plusieurs reprises. La société n’avait d’ailleurs pas pris la peine de répondre sa mise en demeure ni aux deux relances qui lui ont été ensuite adressées.
Reste à savoir à présent si l’entreprise va se pincer aux injonctions de la Cnil, qui a laissé à Clearview deux mois, après quoi elle sera soumise à une astreinte de 100 000 euros par jour de retard. L’autorité française n’est pas la seule à s’être penchée sur le cas Clearview. L’entreprise américaine a déjà été condamnée à une amende de 8,85 millions d’euros au Royaume-Uni en mai dernier, puis de 20 millions d’euros par la Cnil grecque ce tété.
Sélectionné pour vous
