Clearview AI condamné par la CNIL : 5 200 000€ !

Comme 52,6 millions de français, vous avez probablement un ou plusieurs comptes sur les réseaux sociaux. Facebook, Twitter, Whatsapp, Linkedin… Il est également fort probable que vous ayez mis une photo de vous sur votre profil. Et si l’on vous disait que Clearview AI, une société américaine spécialisée dans la reconnaissance faciale, avait créé une base de données géante en récupérant vos photos afin de pouvoir vous identifier ? Plutôt effrayant, n’est-ce pas ? C’est pourtant le cas, et c’est ce que la CNIL a condamné (lourdement !). 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

Un logiciel de reconnaissance faciale créant un “gabarit biométrique” 

C’était en effet le projet défendu par Clearview AI. Le géant américain de la reconnaissance faciale travaille depuis 2017 sur la commercialisation d’un logiciel, consistant en un moteur de recherche permettant l’identification de personnes physiques à partir de photos. La base de données est créée en récoltant les photos accessibles sur internet et notamment les réseaux sociaux, à partir de photos et de vidéos, grâce au web scraping.

Le web scraping est une technique d’extraction de contenus, utilisée pour la création de base de données notamment.

Les photos récoltées permettent au logiciel la création d’un gabarit biométrique : une représentation numérique des caractéristiques physiques des personnes. (définition de la CNIL).  

Clearview AI défend ce projet, en affirmant que ce logiciel n’aurait vocation à n’être utilisé que par les forces de l’ordre, afin de faciliter la reconnaissance d’individus auteurs ou victimes d’infractions. 

Mais une violation de données en début d’année 2020 a permis de révéler que ce logiciel était commercialisé à pléthore d’entreprises privées et de particuliers. Il a également été révélé que Clearview AI a proposé la commercialisation de son logiciel à de nombreux États, tels que l’Arabie Saoudite, le Qatar ou encore les Émirats Arabe Unis. 

20 milliards d’images collectées 

Au total, ce sont plus de 20 milliards d’images qui ont été collectées sur différentes plateformes grâce au web scraping. 20 milliards d’images permettant de réaliser une multitude de gabarits numériques, et ainsi l’identification d’autant de personnes. 

Mais cette collecte a été réalisée sans le consentement des personnes concernées. Ni les plateformes, ni leurs utilisateurs n’étaient informés d’une telle récolte. En se dispensant  du consentement des personnes concernées, Clearview AI a rendu son traitement illicite et dépourvu de base légale. 

Plaintes & coopération européenne  

Dès 2020, plusieurs particuliers ont alerté la CNIL au sujet de ce logiciel. Au regard de ces plaintes, la CNIL a décidé d’ouvrir une enquête. L’association Privacy International a également alerté la CNIL de cette pratique. 

Chaque année, près de 12 000 plaintes sont déposées auprès de la CNIL. Ces plaintes peuvent déclencher une enquête de la CNIL, qui peuvent finir sur une sanction. Évitez les sanctions, organisez votre conformité RGPD en consultant notre guide : RGPD : Le guide complet. 

L’association Privacy International est une organisation non gouvernementale à but non lucratif militant contre la violation de la vie privée par des gouvernements et autres organisations. 

Mais ce n’est pas tout. Plusieurs États membres de l’Union européenne ont également reçu des signalements. Clearview AI étant une société américaine basée à New-York, n’ayant pas d’établissement en UE, chaque autorité de contrôle de chaque état-membre est compétente pour sanctionner la société américaine.

Et c’est d’ailleurs ce qu’il s’est passé. La HDPA (Hellenic Data Protection Authority), autorité de contrôle grecque, a sanctionné le 13 juillet 2022 Clearview AI d’une amende de 20 000 000€.

L’autorité de contrôle italienne, la GPDP (Garante per la protezione dei dati personali) a également condamné Clearview à une amende de 9 000 000€ le 10 février dernier.

Au Royaume-Uni également, l’équivalent anglais du RGPD (the UK GDPR) a permis à l’autorité de contrôle anglaise, l’ICO (Information Commissioner’s Office) de sanctionner la société américaine avec une amende de 7 500 000£ le 18 mai dernier. 

Procédure 

Au niveau français, la CNIL est intervenue trois fois sur ce dossier. 

En effet, informée grâce aux plaintes et aux signalements, la CNIL avait rendu publique la mise en demeure adressée à Clearview le 26 novembre 2021. La société disposait de 2 mois pour stopper la collecte et le traitement des données des citoyens français, de respecter les droits des personnes concernées et de faciliter l’exercice de ces demandes.

 💡 Bon à savoir: une mise en demeure est une décision rendue par la présidente de la CNIL qui enjoint l’organisme dont un manquement est constaté à se mettre en conformité dans un délai imparti (6 mois). Pour en savoir plus sur les pouvoirs de la CNIL, consultez notre article : RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL.  

Le 17 octobre 2022, confrontée à l’absence de réponse de Clearview AI, la sanction tombe. 20 000 000€ d’amende et une injonction de la CNIL  pour Clearview de cesser toute collecte et utilisation des données des français, ainsi qu’une suppression des données déjà récoltées. Devant la gravité de cette affaire, la CNIL accompagne cette décision d’une obligation de se conformer dans un délai de 2 mois, sous risque d’une astreinte d’un montant de 100 000€ par jour de retard. 

Autrement dit, Clearview AI disposait de 2 mois pour stopper le traitement, stopper la collecte et supprimer toutes les données d’utilisateurs français de sa base de données. Au-delà de ces deux mois, pour chaque jour de retard, la sanction (déjà élevée) augmentera de 100 000€ par jour de retard. Notons également que la France n’est pas la seule autorité parmi les autorités des États membres à avoir sanctionné Clearview AI. Cumulée avec les sanctions énoncées par l’Angleterre, l’Italie et la Grèce, ce logiciel expose la société à des sanctions de plus de 50 millions d’€. 

Les manquements au RGPD relevés 

Intéressons nous aux manquements relevés par la CNIL. Ce sont ces mêmes manquements qui ont été relevés par les autres autorités de contrôle.

Ne soyez pas les prochains dans la ligne de mire de la CNIL : procédez à votre mise en conformité rapidement et efficacement grâce à un logiciel de mise en conformité testé et vérifié. Besoin d’un DPO ? Cet article pourrait vous intéresser :  Comment trouver le vôtre ?  

Absence de base légale 

Comme l’indique l’article 6 du RGPD, tout traitement pour être licite doit être basé sur une base légale. Le RGPD prévoit 6 bases, et le responsable de traitement doit choisir la base la plus appropriée, la plus justifiée au regard du traitement concerné. Parmi ces bases juridiques, on retrouve : 

  • le traitement basé sur le consentement, 
  • le traitement basé sur un contrat, 
  • le traitement effectué selon une obligation légale 
  • le traitement relevant de l’intérêt légitime 
  • le traitement permettant la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique 
  • le traitement effectué dans l’intérêt public ou relevant de l’exercice de l’autorité publique 

Le traitement réalisé par Clearview AI n’était basé sur aucune de ces bases légales. En se privant de base légale, le traitement est rendu illicite.

Non respect du droit des personnes concernées 

C’est également concernant le non respect du droit des personnes concernées que la CNIL justifie sa sanction. Après étude des plaintes et signalement effectués, la CNIL constate que les droits des personnes concernées, prévus au chapitre III du RGPD, tels qu’ils sont traités par Clearview AI illustrent deux comportements sanctionnables. 

Dans un premier temps, la CNIL évoque la difficulté imposée par Clearview AI pour l’exercice des droits des personnes concernées. La CNIL relève en effet que le nombre de demandes est limité (2x par an maximum), que lla demande ne peut porter que sur les données collectées les 12 derniers mois et que parmi plusieurs demandes d’une même personne, seules quelques demandes sont traitées. 

Dans un second temps, la CNIL relève que les demandes d’accès et d’effacement sont rarement traitées par Clearview AI, qui ne répond que partiellement ou qui ne répond pas du tout. 

Absence de coopération avec l’autorité de contrôle

La CNIL relève également l’absence de coopération de Clearview AI, contrairement à ce qui est prévu par l’article 31 du RGPD. L’absence de réponse à la mise en demeure constitue ce manquement. La CNIL évoque également l’absence de coopération lors du contrôle effectué. 

La liquidation de l’astreinte 

2 mois plus tard, Clearview AI n’a apporté aucun élément attestant de sa conformité au RGPD auprès de la CNIL, ou au moins d’efforts en ce sens. 

La sanction tombe : le 10 mai 2023, la société Clearview est condamnée à payer la liquidation de l’astreinte, pour un montant de 5 200 000€, qui alourdit donc la sanction française à 25 200 000€ ! Et la sanction européenne à près de 75 000 000€ d’amende !

À suivre: que va faire Clearview ?

Clearview va-t-elle faire recours ? S’incliner ? Cesser la collecte des données ? Supprimer toutes les photos collectées comme elle est condamnée à le faire ? Payer les condamnations ?Alors que les sanctions tombent, la société américaine ne semble pas vouloir procéder à une collecte des consentements. 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €