La société ClearView AI, société américaine créée en 2017, a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet et les réseaux sociaux et qui permet d’identifier une personne à partir d’une photographie la représentant.
Alertée par à partir de mai 2020, par des particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI puis en mai 2021 par l’association Privacy International, la CNIL, après avoir instruit une enquête et relevé deux manquements au RGPD a mis en demeure en novembre 2021 la société ClearView AI de cesser ce traitement illicite et de supprimer les données dans un délai de 2 mois.
Faute de réponse par la société ClearView AI à cette mise en demeure, la CNIL, par délibération du 17 octobre 2022, a prononcé à l’encontre de la société américaine ClearView une sanction de 20 millions d’euros, outre de cesser la collecter et le traitement de données de personnes se trouvant en France et de supprimer, sous astreinte, de sa base de données les données des personnes se trouvant en France qu’elle a déjà collectées.
D’après les constations de la CNIL, la société ClearView AI utilise une technologie propre pour indexer les pages web librement accessibles. Elle collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web. Des photographies sont ainsi extraites notamment de réseaux sociaux (par exemple, Twitter ou Facebook), de sites professionnels contenant des photographies de leurs salariés, de blogs et de tous sites web sur lesquels des photographies de personnes sont publiquement accessibles. Des images sont également extraites de vidéos disponibles en ligne, par exemple sur le site www.youtube.com.
À partir de chaque photographie collectée, la société calcule un gabarit biométrique, sans consentement des personnes concernées.
Une empreinte numérique unique, propre au visage tel qu’il apparaît sur la photographie est ainsi générée. Les milliards d’images sont ensuite enregistrées dans une base de données sous une forme permettant de les rechercher à l’aide de l’empreinte numérique.
La société commercialise ensuite l’accès à une plateforme en ligne sur laquelle se trouve un moteur de recherche. Cet outil fonctionne en y téléchargeant une photographie d’un visage. À partir de cette photographie, l’outil calcule l’empreinte numérique correspondante à celle-ci et effectue, dans la base de données, une recherche des photographies auxquelles sont liées des empreintes similaires.
La société ClearView collecte en outre :
Ces catégories de données constituent des données à caractère personnel de la personne dont le visage apparaît sur la photographie en cause. La société traite en outre des données biométriques associées à ces images. Les images collectées concernant pour partie des personnes situées dans l’Union européenne, la société traite donc des données à caractère personnel de personnes physiques situées dans l’Union européenne et, en particulier, en France.
Par conséquent, la CNIL a considéré que la société ClearView AI devait être considérée comme responsable de traitement et que le RGPD trouvait ici à s’appliquer bien que la société ClearView AI soit située hors de l’Union européenne.
La CNIL a ainsi retenu à l’encontre de la société ClearView AI :
Pour fonder sa décision de sanction, la CNIL a relevé la particulière gravité des manquements commis, » en particulier au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD« , du nombre de personnes concernées et du caractère particulièrement intrusif du traitement en cause.
Ainsi, il est apparu dans le cadre de l’enquête que le traitement concerne « plus de vingt milliards d’images ainsi qu’un nombre considérable de personnes concernées, dans le monde entier. Ce sont donc plusieurs millions de personnes en France dont le visage apparaît sur une photographie ou une vidéo publiquement accessible sur Internet, et notamment sur un compte de réseau social, qui sont susceptibles d’être concernées par ce traitement. La base de données étant en outre actualisée très régulièrement pour intégrer les informations nouvellement disponibles, le nombre de ces images et de ces personnes est en constante évolution. »
Ce traitement massif présente par ailleurs selon la CNIL un caractère particulièrement intrusif en ce qu’il recueille sur une personne donnée un nombre potentiellement très important de données photographiques, auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de leur vie privée tels que leurs goûts et préférences (par exemple, en termes de loisirs), leurs opinions politiques ou leurs convictions religieuses, exprimés sur des réseaux sociaux, dans des articles de blogs ou encore des articles de presse.
La société ClearView a ainsi mis en œuvre ce traitement en toute illicéité puisqu’elle ne dispose d’aucun fondement juridique à cette fin : ni intérêt légitime du responsable de traitement, ni consentement des intéressés.
Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée, « Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 […] « .
La CNIL a donc ici strictement appliqué les dispositions susvisées et en particulier celles prévues à l’article 83 du RGPD à l’encontre de la société Clearview AI en la condamnant à la sanction administrative maximale au regard de la gravité des pratiques de cette dernière.
Par Cynthia Picart
22/10/22
