20 millions d’euros : l’amende ne pouvait pas être plus lourde pour Clearview AI. La Cnil a usé, à l’encontre de cette entreprise américaine, de tout le pouvoir de sanction pécuniaire que lui confère le RGPD. La conséquence d’infractions « particulièrement graves ». Qui touchent notamment au traitement de données biométriques.
Né en 2017, Clearview AI a développé un logiciel de reconnaissance faciale. Il le commercialise – entre autres à des forces de l’ordre – sous la forme d’un moteur de recherche. Celui-ci permet de retrouver une personne à partir d’une photo la représentant. Sa base de données repose sur la collecte d’images publiquement disponibles sur Internet et à partir desquelles sont constitués des gabarits biométriques (forme d’empreinte numérique) unique).
Clearview AI aurait récupéré plus de 20 milliards d’images à travers le monde, englobant potentiellement plusieurs millions de personnes. Qui, pour la majorité, ne sont pas même au courant de l’existence de l’entreprise et/ou de ses services.
En 2020, la Cnil avait commencé à recevoir des plaintes. À l’automne, elle avait envoyé un premier courrier à Clearview AI. Un an plus tard, on en arrivait à la mise en demeure, avec un délai de deux mois pour se mettre en conformité. Entre-temps (mai 2021), l’association Privacy International s’était manifestée.
Après deux relances en mars et avril 2022, l’autorité avait ouvert une instruction. La sanction est finalement tombée ce 17 octobre. Elle est à la hauteur des griefs.
Premier élément en défaveur de Clearview AI : l’ampleur des collectes. Elles touchent jusqu’aux plates-formes de diffusion de vidéos (extraction d’images). Et n’incluent aucun filtre, sinon pour quelques sites « pour adultes ». Sont aussi aspirées, en outre, les métadonnées des images et les URL sources.
Ces URL apparaissent dans les résultats de recherche du moteur Clearview AI. Leur mise en relation avec les images peut permettre de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences, constate la Cnil. Et même, s’agissant des réseaux sociaux, d’identifier son compte. Les photos peuvent par ailleurs avoir été mises en ligne pour illustrer un article susceptible de contenir, là aussi, des informations sur les personnes.
Tous ces éléments – et il y en a d’autres – ont mené la Cnil à considérer être dans un des cas que couvre le RGPD : le profilage. Et le suivi comportemental de personnes, en particulier parce qu’on peut renouveler la recherche dans le temps.
Sur quelle base juridique Clearview AI effectue-t-il ces traitements ? Aucune, selon la Cnil. L’usage du service par les forces de l’ordre pourrait amener à avancer un intérêt légitime. Mais mis en balance avec ceux des personnes concernées, l’argument ne saurait tenir, explique l’autorité. D’abord parce qu’elles « ne peuvent pas raisonnablement s’attendre à ce que leurs images[, même en accès public,] alimentent un logiciel de reconnaissance faciale. » Plus encore celui-ci, qui n’est pas public et dont beaucoup ignorent l’existence.
Au-delà de l’absence de base juridique, la Cnil a sanctionné une prise en compte insatisfaisante des droits des personnes. D’une part, avec des réponses partielles et loin d’être systématiques, tant pour les demandes d’accès que d’effacement. D’autre part, avec des limites injustifiées : deux demandes maximum par an et une restriction aux données collectées sur les 12 mois précédents.
À tout cela s’ajoute le refus manifeste de Clearview AI de coopérer avec la Cnil. Tout au plus la société a-t-elle répondu, « de manière très partielle », au questionnaire de contrôle qui lui avait été adressé.
Sur le papier, elle a deux mois pour mettre fin aux collectes sans base légale et supprimer les données déjà récupérées. Au-delà, elle s’expose à une astreinte de 100 000 € par jour.
Photo d’illustration © Kurhan – Shutterstock
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.