La CNIL : la société CLEARVIEW AI visée par une amende de 20 millions d’euros.
L’entreprise américaine CLEARVIEW AI, a été condamnée par la CNIL, après une mise en demeure restée sans réponse, à une amende de 20 millions d’euros. L’autorité administrative indépendante l’enjoint également de cesser de collecter et d’utiliser, sans base légale, les données d’individus se trouvant en France ainsi que de supprimer celles qui ont déjà été collectées.
Le logiciel de reconnaissance faciale de l’entreprise
Nous sommes en mai 2020 lorsque la CNIL ouvre une enquête sur la société CLEARVIEW AI, après avoir reçu les premières plaintes provenant de particuliers à propos du logiciel de reconnaissance faciale qu’exploite la principale concernée. Un an plus tard, c’est au tour de l’association britannique « Privacy international », d’alerter la Commission Nationale de l’Informatique et des Libertés sur les pratiques de l’entreprise.
Cette dernière, à travers un logiciel, aspire et exploite des photographies consultables en ligne, provenant de sources web publiques, de médias sociaux et extrait des images de vidéos présentes sur diverses plateformes de diffusion. Elle s’est ainsi constituée, au cours de ces dernière années, une base de données de plus de 20 milliards d’images faciales.
La société américaine commercialise alors la base d’images qu’elle s’est faite. Sous la forme d’un moteur de recherche, utilisant la technologie de reconnaissance faciale, l’on peut y chercher un individu à l’aide d’une simple photographie. Ce service permet ainsi aux forces de l’ordre, d’identifier des personnes et de recueillir de précieux renseignements utilisés dans le but de résoudre des enquêtes.
Cependant, pour y parvenir, l’entreprise a constitué un « gabarit biométrique », une représentation numérique de caractéristiques physiques d’individus. Des données particulièrement sensibles, compte tenu de leur nature. En effet, directement liées à notre apparence physique, elles permettent de nous identifier.
Les manquements de l’entreprise au RGPD
C’est au terme des investigations de la CNIL, menées en coopération avec ses homologues européens, que plusieurs manquements au RGPD ont été mis en lumière, notamment :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car la collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes (articles 12, 15 et 17 du RGPD).
En effet, tout d’abord, l’entreprise ne recueille pas, avant d’aspirer et exploiter les photographies des personnes concernées dans son logiciel, leur consentement. Le Logiciel de reconnaissance faciale ne respectant pas l’article 6 du RGPD, ne peut être qu’illicite.
Ensuite, la CNIL a été forcée de constater que de nombreuses plaintes ont mis en lumière les difficultés rencontrées par des plaignants lorsqu’ils souhaitaient faire exercer leurs droits auprès de la société Clearview AI.
Notamment en :
- limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
- restreignant l’exercice de ce droit à deux fois par an, sans justification ;
- ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne.
Enfin, l’entreprise visée par une enquête de la CNIL, a manqué à son obligation de coopérer avec les services de cette dernière (article 31 du RGPD), ne répondant que peu aux questions qui lui étaient adressées.
Les décisions de la CNIL
C’est le 26 novembre 2021, après que les investigations aient relevé plusieurs manquements au RGPD, que la présidente de la CNIL, avait pris la décision de mettre CLEARVIEW IA, en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulés.
L’entreprise disposait alors de deux mois pour respecter les injonctions rédigées dans la mise en demeure et en justifier auprès de la Commission Nationale de l’Informatique et des Libertés.
Cependant, la société américaine n’ayant apporté aucune réponse à cette mise en demeure, Marie-Laure DENIS, présidente de la CNIL, avait décidé de saisir la « formation restreinte », en charge de prononcer les sanctions.
Cette dernière, compte tenu des risques très importants pour les droits fondamentaux des personnes concernées par le traitement mis en œuvre par la société, a prononcé une sanction pécuniaire maximale en application de l’article 83 du RGPD, soit 20 millions d’euros.
Elle a également décidé d’enjoindre à CLEARVIEW AI de ne pas procéder, sans base légale, à la collecte et au traitement de données des personnes se trouvant en France et de supprimer les données de ces personnes qu’elle a déjà collectées, dans un délai de deux mois. Elle a assorti cette injonction d’une amende de 100 000 euros par jour de retard.
Le rôle pédagogique de la CNIL
Bien que l’une des tâches de la CNIL consiste à contrôler et à sanctionner les organismes en cas de manquement au RGPD ou à la loi, il est important de ne pas oublier son rôle pédagogique. Elle compte parmi ses missions celle d’accompagner les particuliers, de les sensibiliser et de leur permettre de maîtriser leurs données personnelles et ce, dès le plus jeune âge !
Effectivement, les enfants étant de plus en plus connectés, les risques qu’ils expérimentent des situations anormales se sont multipliés. Savoir se protéger en ligne, commencer à comprendre le monde du numérique et approcher ses droits avec ses parents est par conséquent indispensable.
C’est dans ce cadre, que la CNIL vient de lancer sa campagne « Tous ensemble – Prudence sur internet ! » et a mis à disposition un certain nombre de ressources destinés aux enfants de 8 à 10 ans. Celles-ci permettront aux enseignants, éducateurs et parents de sensibiliser, avant leur entrée au collège, les enfants à une pratique du numérique raisonnée.
Pour aller plus loin
