Le 17 octobre 2022, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 20 millions d’euros à Clearview AI pour utilisation illicite de la technologie de reconnaissance faciale. L’amende a été imposée après que la mise en demeure préalable de la CNIL soit restée sans réponse de la part de Clearview AI.
Contexte
La technologie de reconnaissance faciale de Clearview AI collecte des images accessibles au public sur des sites web en ligne, y compris les médias sociaux, et extrait des images de vidéos disponibles en ligne. Clearview AI commercialise l’accès à sa base de données d’images, qui consiste en un moteur de recherche permettant de rechercher une personne à l’aide d’une photo. La base de données d’images est proposée comme service aux autorités chargées de l’application de la loi afin d’identifier les auteurs ou les victimes de crimes. Afin de permettre la recherche d’une personne spécifique, Clearview AI crée un modèle biométrique qui consiste en une représentation numérique des caractéristiques physiques d’une personne. En vertu du Règlement général sur la protection des données de l’UE (le « RGPD »), les données biométriques sont considérées comme des données personnelles sensibles et leur traitement nécessite une protection supplémentaire.
La CNIL avait reçu des plaintes de particuliers concernant la technologie de reconnaissance faciale de Clearview AI depuis mai 2020 et a ouvert une enquête au cours de laquelle elle a coopéré avec d’autres autorités européennes de protection des données dans le cadre du mécanisme de coopération du GDPR (c’est-à-dire que chaque autorité locale est compétente pour agir sur son propre territoire, Clearview AI n’étant pas établie dans l’UE).
L’enquête et la décision de la CNIL
L’enquête de la CNIL a révélé ce qui suit :
- Clearview AI traitait des données sensibles sans base légale valable : Clearview ne recueillait pas le consentement des personnes concernées pour la collecte et l’utilisation de leur photo afin de fournir le logiciel de Clearview AI et ne pouvait pas se fonder sur la base légale des intérêts légitimes, notamment au vu du caractère intrusif de la collecte des données et de l’absence de sensibilisation des personnes concernées à la collecte des données ; et
- Clearview AI n’a pas facilité l’exercice des droits des personnes concernées et n’a pas répondu aux demandes de manière efficace et satisfaisante, notamment aux demandes d’accès et d’effacement.
En novembre 2021, la CNIL a ordonné à Clearview AI de cesser la collecte et l’utilisation de données de personnes résidant en France sans base légale valable et de faciliter l’exercice des droits des personnes concernées et de répondre à ces demandes. Clearview AI n’a apporté aucune réponse à la mise en demeure de la CNIL.
Au vu de ces manquements, de l’absence de coopération de Clearview AI avec la CNIL et des » risques très importants pour les droits fondamentaux des personnes concernées résultant du traitement mis en œuvre par la société « , la CNIL a décidé d’infliger à Clearview AI une sanction pécuniaire maximale de 20 millions d’euros, d’ordonner à Clearview AI de cesser de collecter et de traiter les données des personnes physiques résidant en France et de supprimer les données déjà collectées dans un délai de deux mois. La CNIL a également prononcé une sanction de 100 000 € par jour de retard au-delà de ces deux mois. Lire la décision de la CNIL (en français).
