Accueil Astuces et Informations Clearview AI : un cas parti pour faire exemple à la Cnil

Clearview AI : un cas parti pour faire exemple à la Cnil

5
1
Cnil Clearview AI

La Cnil a infligé l’amende et l’astreinte maximales à Clearview AI. Que reproche-t-elle à cette société américaine qui fait dans la reconnaissance faciale ?

20 millions d’euros : l’amende ne pouvait pas être plus lourde pour Clearview AI. La Cnil a usé, à l’encontre de cette entreprise américaine, de tout le pouvoir de sanction pécuniaire que lui confère le RGPD. La conséquence d’infractions « particulièrement graves ». Qui affecte notamment le traitement de données biométriques.

Né en 2017, Clearview AI a développé un logiciel de reconnaissance faciale. Il le commercialise – entre autres à des forces de l’ordre – sous la forme d’un moteur de recherche. Celui-ci permet de retrouver une personne à partir d’une photo du représentant. Sa base de données repose sur la collecte d’images publiquement disponibles sur Internet et à partir du contenu sont constitués de gabarits biométriques (forme d’empreinte numérique) unique).

Clearview AI aurait récupéré plus de 20 milliards d’images à travers le monde, englobant potentiellement plusieurs millions de personnes. Qui, pour la majorité, ne sont pas même au courant de l’existence de l’entreprise et/ou de ses services.

En 2020, la Cnil avait commencé à recevoir des plaintes. À l’automne, elle avait envoyé un premier courrier à Clearview AI. Un an plus tard, on en arrivait à la mise en demeure, avec un délai de deux mois pour se mettre en conformité. Entre-temps (mai 2021), l’association Privacy International s’était révélée.

Après deux relances en mars et avril 2022, l’autorité avait ouvert une instruction. La sanction est finalement tombée ce 17 octobre. Elle est à la hauteur des chagrins.

Clearview AI : des collections (presque) sans filtre

Premier élément en défaveur de Clearview AI : l’ampleur des collectes. Elles atteignent jusqu’aux plaques-formes de diffusion de vidéos (extraction d’images). Et n’incluent aucun filtre, sinon pour quelques sites « pour adultes ». Sont aussi aspirées, en outre, les images renforcées et les sources URL.

Ces URL apparaissent dans les résultats de recherche du moteur Clearview AI. Leur mise en relation avec les images peut permettre de fournir de nombreuses informations sur une personne, ses habitudes ou ses préférences, constate la Cnil. Et même, s’agissant des réseaux sociaux, d’identifier son compte. Les photos peuvent par ailleurs avoir été mises en ligne pour illustrer un article susceptible de contenir, là aussi, des informations sur les personnes.

Tous ces éléments – et il y en a d’autres – ont conduit la Cnil à considérer être dans un des cas que couvre le RGPD : le profilage. Et le suivi comportemental de personnes, en particulier parce qu’on peut renouveler la recherche dans le temps.

Des demandes prises en compte… des fois

Sur quelle base juridique Clearview AI effectue-t-il ces traitements ? Aucune, selon la Cnil. L’usage du service par les forces de l’ordre pourrait amener à avancer un intérêt légitime. Mais mis en balance avec ceux des personnes concernées, l’argument ne saurait tenir, explique l’autorité. D’abord parce qu’elles « ne peuvent pas raisonnablement s’attendre à ce que leurs images[, même en accès public,] alimentent un logiciel de reconnaissance faciale. » Plus encore celui-ci, qui n’est pas public et dont beaucoup ignorent l’existence.

Au-delà de l’absence de base juridique, la Cnil a sanctionné une prise en compte insatisfaisante des droits des personnes. D’une part, avec des réponses partielles et loin d’être systématiques, tant pour les demandes d’accès que d’effacement. D’autre part, avec des limites injustifiées : deux demandes maximales par an et une restriction aux données requises sur les 12 mois précédents.

À tout cela s’ajoute le refus manifeste de Clearview AI de coopérer avec la Cnil. Tout au plus la société at-elle répondu, « de manière très partielle », au questionnaire de contrôle qui lui avait été envoyé.
Sur le papier, elle a deux mois pour mettre fin aux collections sans base légale et supprimer les données déjà récupérées. Au-delà, elle s’expose à une astreinte de 100 000 € par jour.

Photo d’illustration © Kurhan – Shutterstock