La société ayant refusé de payer une lourde amende et de se conformer à une décision de la Cnil, l’autorité lui réclame une astreinte de 5,2 millions d’euros.
Face au refus de Clearview AI, la Commission nationale de l’informatique et des libertés (Cnil) a décidé d’augmenter la facture. Pour rappel, l’autorité lui avait infligé une amende de 20 millions d’euros en octobre dernier, lui reprochant plusieurs manquements au règlement européen sur la protection des données (RGPD).
Spécialisée dans la reconnaissance faciale, Clearview a en effet aspiré des photos provenant de nombreux sites web, dont les réseaux sociaux, sans le consentement des personnes concernées. Ces milliards d’images sont réunies dans une base, que la société commercialise sous la forme d’un moteur de recherche, permettant de rechercher un individu à l’aide d’une photo. Elle offre notamment ce service à des forces de l’ordre. Outre la lourde amende, la Cnil avait enjoint Clearview de « ne pas procéder, sans base légale, à la collecte et au traitement de données des personnes se trouvant en France, et de supprimer les données de ces personnes après avoir répondu aux demandes d’accès qui lui ont été adressées ».
Une astreinte liquidée pour non-conformité
Ne s’étant pas conformée à la décision de l’autorité, celle-ci a décidé de lui réclamer une astreinte de 5,2 millions d’euros, comme elle l’a indiqué dans un communiqué publié mercredi. La Cnil avait en effet assorti son injonction d’une astreinte de 100 000 euros par jour de retard à l’issue du délai de deux mois dont Clearview disposait pour s’y conformer. « La société n’a adressé aucun justificatif de mise en conformité dans ce délai », a fait savoir le gendarme français des données personnelles, raison pour laquelle il a décidé, en avril, de liquider l’astreinte.
Clearview avait déjà indiqué en octobre qu’elle n’était pas prête à obéir à l’injonction de la Cnil. Dans un communiqué transmis à l’AFP, son patron, Hoan Ton-That, avait affirmé qu’aucun moyen ne permettait de « déterminer si une personne est de nationalité française uniquement à partir d’une photo publique sur Internet », ajoutant qu’il était ainsi « impossible de supprimer les données des résidents français ». Il avait aussi assuré que Clearview collectait uniquement des informations accessibles au public sur Internet, comme le font d’autres moteurs de recherche, et fait valoir que son entreprise ne disposait ni d’enseigne commerciale ni de clients en France et dans l’Union européenne, estimant qu’elle n’entreprenait aucune activité la soumettant au RGPD.
À noter que la Cnil française n’est pas la seule autorité à avoir sanctionné l’entreprise américaine pour ces raisons. C’est aussi le cas de l’Italie et du Royaume-Uni, qui lui avait également demandé de supprimer les données personnelles de leurs résidents l’année dernière.