L’entreprise américaine est sommée de cesser la collecte et l’usage des données des personnes sur le territoire français.
Spécialisée dans la reconnaissance faciale, Clearview AI est souvent critiquée par les autorités pour la façon dont elle a constitué sa base de données. Cette fois-ci, c’est en France qu’elle fait face à un nouvel obstacle. Ce jeudi 16 décembre, la Commission nationale de l’informatique et des libertés (Cnil) a en effet annoncé la mise en demeure de cette dernière. L’autorité française lui reproche plusieurs manquements au Règlement général sur la protection des données (RGPD), notamment au sujet du consentement. Clearview AI a effectivement établi sa base de données en aspirant les images des personnes concernées sur Internet, dont les réseaux sociaux, sans les informer et sans leur accord.
À ce jour, cette base est composée de plus de 10 milliards d’images. Elle est utilisée par les clients de l’entreprise, en particulier les forces de l’ordre, afin de rechercher une personne à l’aide d’une photographie. La Cnil explique que, dans cet objectif, un « gabarit biométrique » est constitué. Il s’agit d’une représentation numérique des caractéristiques physiques d’une personne. Dans le cas de Clearview AI, c’est le visage qui est concerné.
Vers une possible sanction pécuniaire
Pour la CNIL, les données biométriques utilisées par la société américaine sont particulièrement sensibles, car elles sont liées à l’identité physique d’une personne et qu’elles permettent de l’identifier de façon unique. L’autorité française estime, par ailleurs, que Clearview AI ne dispose pas d’un intérêt légitime pour récupérer les images des dizaines de millions d’internautes en France. « Ces personnes (…) ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des États à des fins policières. »
Enfin, la Cnil a constaté que Clearview AI ne tient pas compte des droits des personnes de manière satisfaisante et effective. Elle accuse l’entreprise de ne répondre à certaines demandes d’accès aux données qu’après en avoir reçu un nombre excessif de la part d’une même personne. Elle lui reproche, en outre, de fournir uniquement des réponses partielles ou de ne pas répondre du tout aux demandes d’accès et d’effacement des données qui lui sont adressées. Clearview AI est ainsi sommée de cesser la collecte et l’usage des données des personnes se trouvant sur le territoire français, mais aussi de faciliter l’exercice du droit des individus concernés et de répondre favorablement aux demandes d’effacement formulées. La société dispose de deux mois pour se mettre en conformité. Si le délai n’est pas respecté, elle s’expose à une sanction pécuniaire.
La Cnil a mené ces investigations après avoir reçu plusieurs plaintes de particuliers concernant le logiciel de reconnaissance faciale de Clearview AI dès mai 2020. Elle avait également été alertée par l’association Privacy International dans une plainte détaillée en mai 2021. En outre, sa procédure ne se limite pas aux frontières françaises. Le gendarme des données personnelles indique en effet avoir « coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société Clearview AI en Europe ». La société spécialisée dans la reconnaissance faciale pourrait d’ailleurs prochainement se voir infliger une amende de 20 millions d’euros par l’équivalent britannique de la Cnil, qui estime qu’elle n’a pas respecté les lois sur la protection des données du pays.