L'autorité néerlandaise de protection des données condamne Clearview à des millions d'euros d'amende
L’agence de protection des données néerlandaise (AP) a condamné Clearview AI à une amende de 30,5 millions d’euros. Elle reproche à l’entreprise d’avoir élaboré une banque de données de reconnaissance faciale comprenant des milliards de photos. Désormais, l’autorité de protection des données cherche à vérifier si les dirigeants de l’entreprise pourraient également être poursuivis personnellement. C’est ce qu’a communiqué l’autorité mardi dernier.
Clearview a amassé en très grande quantité des photos de personnes sur Internet pour les utiliser à des fins de reconnaissance faciale (article an allemand). La banque de données comprendrait aujourd’hui plus de 50 milliards d’entrées. Clearview a selon l’AP également traité les données de Néerlandais et Néerlandaises, et ce sans base juridique pourtant nécessaire.
D’après Clearview, l’accès au logiciel est uniquement vendu aux forces de l’ordre et aux services de sécurité. En 2020, l’entreprise américaine avait été découverte par un public plus large suite à des enquêtes du New York Times.
L’autorité de contrôle néerlandaise reproche désormais à l’entreprise des « atteintes sévères » au Règlement général européen sur la protection des données (RGPD) (en anglais) et l’a par conséquent condamnée à une amende de 30,5 millions d’euros.
Banque de données illégale
D’après l’autorité, Clearview n’a jamais été autorisée à élaborer la banque de données. Selon elle, l’entreprise n’a pas le droit de collecter les données particulièrement sensibles que sont les données biométriques. Il y a certes des cas exceptionnels dans lesquels le traitement des données biométriques est légal, mais l’entreprise ne pourrait pas s’en prévaloir.
De plus, l’autorité de protection des données dénonce un manque de transparence car Clearview informe insuffisamment les personnes concernées que leurs photos et données biométriques sont utilisées. D’après la RGPD, Clearview doit communiquer sur demande quelles données pour quelles personnes sont enregistrées. L’entreprise ne donne cependant pas suite à ce genre de demandes d’information.
L’autorité a ordonné à Clearview de cesser ces atteintes à la vie privée. Si l’entreprise ne s’exécute pas, elle devra s’attendre à une astreinte allant jusqu’à 5,1 millions d’euros.
Aleid Wolfsen, le président de l’autorité de protection des données, a déclaré que la technologie de reconnaissance faciale portait gravement atteinte à la sphère privée. D’après lui, « on ne peut pas la rendre accessible à tout le monde ». Il ajoute que chaque personne dont une photo se trouve sur Internet peut atterrir dans la banque de données et être surveillée.
Une utilisation non autorisée
M. Wolfsen considère que la reconnaissance faciale peut certes contribuer à l’élucidation de crimes, mais que les autorités compétentes ne devraient être autorisées à y recourir que dans des cas absolument exceptionnels. La police doit d’après lui gérer elle-même ce type de banque de données sous la surveillance d’autorités de protection des données, au lieu de recourir aux services d’un prestataire commercial.
Le président de l’autorité a également lancé un avertissement aux institutions néerlandaises : Clearview viole la loi, et l’utilisation des services de Clearview est donc illégale. En cas d’infraction, il faudra s’attendre à de lourdes amendes.
L’autorité néerlandaise de protection des données avait ouvert son enquête l’année dernière après avoir reçu plusieurs plaintes contre Clearview. La décision a déjà été communiquée à Clearview en mai. Comme l’entreprise n’avait pas fait appel, elle ne peut désormais plus s’opposer à l’amende.
Dans un communiqué envoyé à des médias américains (en anglais), le directeur du département juridique de Clearview a déclaré que l’entreprise n’aurait ni de siège, ni de clients aux Pays-Bas ou dans l’UE, c’est pourquoi elle ne serait pas soumise aux dispositions de la RGPD. L’entreprise considère la décision de l’autorité néerlandaise comme illégale et « non exécutoire ».
Des amendes antérieures liées à la protection des données
Au sein de l’UE, plusieurs autorités de protection des données ont déjà pris des mesures contre l’entreprise : par exemple, l’autorité de contrôle italienne avait déjà condamné l’entreprise en 2022 à une amende s’élevant à 20 millions d’euros (en allemand). En France, la CNIL avait réclamé des amendes s’élevant au total à 25,2 millions d’euros.
Au Royaume-Uni, l’entreprise était parvenue à annuler une amende liée à la protection des données. Un tribunal britannique avait décidé fin 2023 (en allemand) que l’autorité de contrôle britannique n’était pas compétente. L’autorité de protection des données avait alors annoncé vouloir faire appel.
Fin août, l’autorité australienne de protection des données avait par ailleurs annoncé (en anglais) qu’elle ne poursuivrait pas sa tentative d’imposer son ordonnance rendue en 2021 contre l’entreprise. L’autorité avait alors exhorté Clearview à supprimer les photos d’Australiennes et d’Australiens dans les 90 jours. Jusqu’à aujourd’hui, rien n’indique que Clearview se soit exécutée.
Les dirigeants sont-ils responsables ?
L’autorité de protection des données néerlandaise a communiqué le fait que, en dépit d’amendes préalables dans d’autres pays, Clearview ne semblait entreprendre aucun changement. C’est pourquoi l’autorité cherche actuellement des moyens de garantir que ces atteintes à la vie privée cessent. Doit être notamment vérifié si les dirigeants peuvent être personnellement tenus pour responsables.
Wolfsen a déclaré à ce sujet que l’entreprise ne peut plus continuer à porter atteinte aux droits des Européens « d’une manière aussi grave et à une telle échelle » et « s’en tirer ». C’est pourquoi l’autorité cherche désormais à savoir si les dirigeants peuvent être condamnés à une amende pour les atteintes à la vie privée qu’ils auraient occasionnées. Les responsables pourraient déjà être tenus pour responsables s’ils ont connaissance de violations du RGPD et n’y mettent pas fin, et ce malgré leur compétence en la matière.
Aux États-Unis, en juillet dernier, Clearview a conclu un accord dans le cadre d’un procès se tenant dans l’Illinois (en anglais). Dans ce cas également, on reprochait à l’entreprise d’enfreindre les droits des personnes concernées via sa collecte massive de données. Dans le cadre de l’accord, le prestataire n’a cependant pas reconnu avoir commis une infraction. (js)