Clearview AI : un cas parti pour faire exemple à la Cnil
La Cnil a infligé l'amende et l'astreinte maximales à Clearview AI. Que reproche-t-elle à cette société américaine qui fait dans la reconnaissance faciale ?
20 millions d'euros : l'amende ne pouvait pas être plus lourde pour Clearview AI. La Cnil a usé, à l'encontre de cette entreprise américaine, de tout le pouvoir de sanction pécuniaire que lui confère le RGPD. La conséquence d'infractions « particulièrement graves ». Qui touchent notamment au traitement de données biométriques.
Né en 2017, Clearview AI a développé un logiciel de reconnaissance faciale. Il le commercialise - entre autres à des forces de l'ordre - sous la forme d'un moteur de recherche. Celui-ci permet de retrouver une personne à partir d'une photo la représentant. Sa base de données repose sur la collecte d'images publiquement disponibles sur Internet et à partir desquelles sont constitués des gabarits biométriques (forme d'empreinte numérique) unique).
Clearview AI aurait récupéré plus de 20 milliards d'images à travers le monde, englobant potentiellement plusieurs millions de personnes. Qui, pour la majorité, ne sont pas même au courant de l'existence de l'entreprise et/ou de ses services.
Lire aussi : RGPD : LinkedIn écope d'une amende de 310 millions €
En 2020, la Cnil avait commencé à recevoir des plaintes. À l'automne, elle avait envoyé un premier courrier à Clearview AI. Un an plus tard, on en arrivait à la mise en demeure, avec un délai de deux mois pour se mettre en conformité. Entre-temps (mai 2021), l'association Privacy International s'était manifestée.
Après deux relances en mars et avril 2022, l'autorité avait ouvert une instruction. La sanction est finalement tombée ce 17 octobre. Elle est à la hauteur des griefs.
Clearview AI : des collectes (presque) sans filtre
Premier élément en défaveur de Clearview AI : l'ampleur des collectes. Elles touchent jusqu'aux plates-formes de diffusion de vidéos (extraction d'images). Et n'incluent aucun filtre, sinon pour quelques sites « pour adultes ». Sont aussi aspirées, en outre, les métadonnées des images et les URL sources.
Ces URL apparaissent dans les résultats de recherche du moteur Clearview AI. Leur mise en relation avec les images peut permettre de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences, constate la Cnil. Et même, s'agissant des réseaux sociaux, d'identifier son compte. Les photos peuvent par ailleurs avoir été mises en ligne pour illustrer un article susceptible de contenir, là aussi, des informations sur les personnes.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Tous ces éléments - et il y en a d'autres - ont mené la Cnil à considérer être dans un des cas que couvre le RGPD : le profilage. Et le suivi comportemental de personnes, en particulier parce qu'on peut renouveler la recherche dans le temps.
Des demandes prises en compte... des fois
Sur quelle base juridique Clearview AI effectue-t-il ces traitements ? Aucune, selon la Cnil. L'usage du service par les forces de l'ordre pourrait amener à avancer un intérêt légitime. Mais mis en balance avec ceux des personnes concernées, l'argument ne saurait tenir, explique l'autorité. D'abord parce qu'elles « ne peuvent pas raisonnablement s'attendre à ce que leurs images[, même en accès public,] alimentent un logiciel de reconnaissance faciale. » Plus encore celui-ci, qui n'est pas public et dont beaucoup ignorent l'existence.
Au-delà de l'absence de base juridique, la Cnil a sanctionné une prise en compte insatisfaisante des droits des personnes. D'une part, avec des réponses partielles et loin d'être systématiques, tant pour les demandes d'accès que d'effacement. D'autre part, avec des limites injustifiées : deux demandes maximum par an et une restriction aux données collectées sur les 12 mois précédents.
À tout cela s'ajoute le refus manifeste de Clearview AI de coopérer avec la Cnil. Tout au plus la société a-t-elle répondu, « de manière très partielle », au questionnaire de contrôle qui lui avait été adressé.
Sur le papier, elle a deux mois pour mettre fin aux collectes sans base légale et supprimer les données déjà récupérées. Au-delà, elle s'expose à une astreinte de 100 000 € par jour.
Photo d'illustration © Kurhan - Shutterstock
Sur le même thème
Voir tous les articles Actualités