Clearview doit payer une amende de plusieurs millions en France

Inscription Clearview sur un smartphone
En Italie, en Grande-Bretagne et en Grèce, les autorités de protection des données avaient déjà sanctionné Clearview AI (source: IMAGO / Zoonar)

Jeudi dernier, l’autorité française de protection des données, la CNIL (Commission Nationale de l’Informatique et des Libertés) a condamné Clearview AI au paiement d’une amende de 20 millions d’euros. Cette entreprise américaine collecte des photos de personnes sur internet et les utilise pour sa base de données biométriques de reconnaissance faciale. La CNIL y voit une enfreinte au Règlement européen sur la protection des données (RGPD).

Comme l’a annoncé la CNIL, Clearview traite des données biométriques sans y avoir été autorisée – son logiciel de reconnaissance facial est donc illégal. En effet, l’entreprise ne demande pas aux internautes concernés la permission de traiter leurs données et n’a pas non plus un intérêt légitime justifiant le traitement des photos collectées. L’autorité française de protection des données insiste sur le fait que les données biométriques sont particulièrement sensibles ; elles permettent, en effet, d’identifier clairement les personnes concernées.

Selon elle, les internautes ne s’attendent raisonnablement pas à ce que leurs photos publiées sur internet soient traitées par la société pour alimenter un système de reconnaissance faciale vendu à des pouvoirs publics et utilisé à des fins policières.

Risques pour les droits fondamentaux

« Au regard des risques très importants pour les droits fondamentaux des personnes concernées », la CNIL a enjoint à la société de cesser la « collecte et l’utilisation de données des personnes se trouvant sur le territoire français ». Les données précédemment collectées doivent être supprimées. Clearview doit remplir cette injonction dans un délai de deux mois.

Les défenseurs français des données personnelles ont constaté comme autre manquement qu’il est difficile pour les personnes concernées d’exercer leurs droits et de faire une demande de renseignements sur les données enregistrées par la société. Ainsi, Clearview restreint l’exercice de ce droit à deux fois par an, sans justification et ne répond qu’après des demandes répétées. Dans de nombreux cas, Clearview ne donne même pas suite aux demandes de suppression des données.

La CNIL reproche également à Clearview son manque de coopération – bien que la société soit obligée de coopérer avec l’autorité de protection des données. La CNIL avait déjà interdit à la société en fin d’année dernière de collecter des données de personnes se trouvant en France et l’avait menacée d’une sanction pécuniaire. Clearview n’a pas réagi à cette mise en demeure. Elle n’a envoyé qu’un formulaire de consultation partiellement rempli.

Clearview doit donc payer une amende de 20 millions d’euros – la sanction maximale selon l’autorité. Si Clearview n’applique pas l’injonction de suppression des données dans les deux mois, une astreinte de 100 000 euros par jour de retard lui sera imposée.

Des plaintes de particuliers envoyées depuis 2020 avaient motivé la CNIL à ouvrir une enquête. Un an plus tard, l’organisation britannique de protection des droits civiques Privacy International avait également alerté la CNIL.

Autres violations du RGPD

Clearview avait heurté l’opinion publique en 2020 suite à des investigations du New York Times. En effet, la société collecte de manière automatisée des images librement accessibles sur internet et a ainsi constitué une immense base de données de visages. Selon ses propres déclarations, celle-ci compte désormais plus de 30 milliards de photos. La société déclare ne vendre son logiciel qu’aux autorités judiciaires.

La sanction prononcée en France n’est pas la première amende que Clearview doit payer en Europe : Privacy International, conjointement avec les organisations Homo Digitalis, Hermes Center for Transparency et Digital Human Rights ainsi que Noyb, a envoyé des plaintes aux autorités de protection des données en France, Grèce, Grande-Bretagne, Italie et Autriche.

Déjà en mars, l’autorité italienne de protection des données avait condamné la société au paiement d’une amende de 20 millions d’euros. En Grande-Bretagne, Clearview doit payer une somme équivalant à environ 8,96 millions – l’ICO britannique avait annoncé initialement une amende de 20 millions d’euros avant de la réduire ensuite. En juillet, la Grèce avait, elle aussi, prononcé une amende de 20 millions d’euros. La décision autrichienne, quant à elle, ne saurait tarder.

Suite à la décision prise par l’autorité française, Privacy International avait déclaré : « Peu à peu, des pays du monde entier déclarent ces pratiques de surveillance comme illégales. Ces décisions envoient un message clair aux entreprises telles que Clearview AI – arrêtez de jouer avec notre vie privée et nos libertés. »

En Allemagne, l’ancien délégué hambourgeois à la protection des données personnelles Johannes Caspar avait lancé en mars 2020 une procédure d’examen à l’encontre de Clearview. Celle-ci se basait sur la plainte d’une personne concernée qui avait demandé à Clearview des renseignements sur ses données. En août 2020, J. Caspar avait constaté que le traitement ne s’appuyait sur aucune base légale et avait ordonné à Clearview de supprimer le profil biométrique de la personne concernée.

Plaintes aux États-Unis

La pression monte également pour Clearview en dehors de l’Europe : à la fin de l’année dernière, les autorités canadiennes de protection des données avaient ainsi enjoint à l’entreprise de supprimer toutes les données prélevées concernant les habitantes et habitants de trois provinces.

L’autorité australienne de protection des données avait également constaté en novembre 2021 une violation de la vie privée par Clearview – et ordonné la suppression des données.

En mai, Clearview a conclu aux USA une transaction avec des défenseurs des droits civiques pour mettre fin à une procédure judiciaire ayant duré deux ans. Dans cette transaction, Clearview consent à n’accorder aucun accès à sa banque de reconnaissance faciale aux entreprises et aux institutions privées aux États-Unis. En outre, il est interdit à Clearview de coopérer avec les autorités illinoisaises pendant cinq ans. D’autres procédures judiciaires à l’encontre de la société sont en instance aux USA. (js)