France : Clearview doit payer une nouvelle amende de plusieurs millions
La Commission Nationale de l’Informatique et des Libertés (CNIL) française a prononcé une nouvelle amende de 5,2 millions d’euros contre Clearview AI. L’entreprise américaine collecte des photos de personnes sur Internet et les utilise pour sa base de données de reconnaissance faciale biométrique. Selon l’institution, Clearview a ainsi enfreint le règlement fondamental européen sur la protection des données (RGPD), raison pour laquelle elle avait déjà infligé une amende de plusieurs millions à l’entreprise en octobre dernier. L’autorité autrichienne de protection des données vient également de terminer l’examen d’une plainte à l’encontre de l’entreprise.
Comme l’a communiqué la CNIL mercredi, Clearview AI ne s’est pas encore conformée à l’injonction des autorités françaises datant d’octobre 2022. Une nouvelle amende a donc été prononcée.
En octobre, la CNIL avait ordonné à la société de cesser « la collecte et l’usage des données de personnes se trouvant sur le territoire français » et de supprimer les données déjà collectées. L’autorité avait donné deux mois à Clearview pour se mettre en conformité. Si Clearview ne s’y conformait pas, elle avait en outre été menacée d’une nouvelle amende de 100.000 euros par jour.
L’amende la plus haute possible
L’autorité de protection des données avait déjà prononcé l’année derniére une amende de 20 millions d’euros contre Clearview AI ; d’après l’autorité, la peine maximale qu’il est possible d’infliger.
La CNIL avait alors constaté que Clearview traitait des données biométriques sans base légale. Clearview ne recueille pas le consentement des personnes concernées pour le traitement des données et ne dispose pas d’un intérêt légitime. Les données biométriques sont particulièrement sensibles, car elles permettent d’identifier les personnes de manière univoque tout au long de leur vie.
Les internautes ne s’attendent pas non plus, d’après la CNIL, à ce que leurs photos publiées soient vendues à des agences gouvernementales et utilisées à des fins d’application de la loi grâce à la reconnaissance faciale.
Déjà à l’époque, l’autorité française de protection des données avait critiqué le manque de coopération de Clearview. En effet, à l’origine, la CNIL avait déjà interdit à l’entreprise (en allemand) à la fin de l’année 2021 de collecter les données des personnes en France. Or, Clearview n’avait pas répondu à cette demande et avait rempli de manière incomplète un formulaire d’audition. La CNIL estime pourtant que l’entreprise est tenue de coopérer avec elle.
L’enquête de la CNIL a été déclenchée par des plaintes déposées par des particuliers depuis 2020. Un an plus tard, l’organisation britannique de défense des droits civiques Privacy International s’était également adressée à l’autorité. Cette dernière a salué cette nouvelle amende et a déclaré : « Cette sanction envoie un message clair à des entreprises comme Clearview : cessez de jouer avec notre vie privée et nos libertés. »
Pas d’amende en Autriche
En mai 2021, Privacy International avait également déposé des plaintes auprès des autorités de protection des données en Grèce, au Royaume-Uni, en Italie et en Autriche, avec les organisations Homo Digitalis, Hermes Center for Transparency and Digital Human Rights et Noyb. Seule la décision autrichienne n’avait pas encore été rendue.
Comme l’a communiqué Noyb mercredi dernier, les autorités autrichiennes de protection des données ont décidé que Clearview ne pouvait plus traiter les données du plaignant et devait les effacer. La décision ne s’applique toutefois qu’à ce cas particulier et n’a aucune incidence sur le traitement des données d’autres citoyens autrichiens.
Felix Mikolasch, avocat spécialisé dans la protection des données chez Noyb, a déclaré à ce sujet : « Il est dommage qu’une interdiction générale n’ait pas été prononcée. Le cas du plaignant est probablement le même pour tous les autres en Autriche. Il semble que le traitement effectué par Clearview ne soit considéré comme illégal que si l’on se plaint auprès de l’autorité de protection des données. »
L’autorité n’a pas infligé d’amende, ce que Noyb qualifie de « surprenant ». En effet, outre la France, l’autorité italienne de protection des données avait déjà prononcé une amende s’élevant à 20 millions d’euros (en allemand). En Grèce, une amende du même montant a également été fixée. Au Royaume-Uni, Clearview doit payer après conversion environ 8,9 millions d’euros.
En mars 2020, Johannes Caspar, alors commissaire à la protection des données de Hambourg, avait lui aussi démarré une procédure d’examen contre Clearview (en allemand). Cette décision a été prise à la suite d’une plainte d’une personne qui avait demandé à Clearview des informations sur ses données, conformément au RGPD. En août 2020, M. Caspar avait déclaré que le traitement des données biométriques par Clearview ne reposait sur aucune base juridique, et ordonné que Clearview efface le profil biométrique de la personne (en allemand).
Clearview s’était retrouvée au centre des discussions (en allemand) en 2020 après une enquête du New York Times : l’entreprise collecte automatiquement les images accessibles au public sur Internet et a ainsi créé une vaste base de données de reconnaissance faciale. Selon ses propres indications, cette base contient aujourd’hui plus de 30 milliards d’images de personnes. (js)