Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI
À la suite d’une mise en demeure restée sans réponse, la CNIL prononce une sanction de 20 millions d’euros et enjoint à la société CLEARVIEW AI de cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées.
Le fonctionnement du service de reconnaissance faciale de CLEARVIEW AI
La société CLEARVIEW AI aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux. Elle collecte ainsi l’ensemble des photographies en ligne consultables sans connexion à un compte. Des images sont également extraites de vidéos accessibles quelles que soient les plateformes de diffusion.
De cette manière, la société s’est appropriée plus de 20 milliards d’images à travers le monde.
Grâce à cette collecte, la société commercialise l’accès à sa base d’images de personnes sous la forme d’un moteur de recherche dans lequel un individu peut être recherchée à l’aide d’une photographie. La société offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction.
La technologie de reconnaissance faciale est ainsi utilisée pour interroger le moteur de recherche et trouver une personne à partir de sa photographie. Pour ce faire, la société constitue un « gabarit biométrique », c’est-à-dire une représentation numérique des caractéristiques physiques des personnes (ici, le visage). Ces données biométriques sont particulièrement sensibles, notamment parce qu’elles sont liées à notre identité physique (ce que nous sommes) et qu’elles permettent de nous identifier de façon unique.
L’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif.
Les investigations et la décision de la CNIL
À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.
Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société CLEARVIEW AI en Europe.
Les investigations menées par la CNIL ont permis de constater plusieurs manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car la collecte et l’utilisation des données biométriques s’effectue sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes (articles 12, 15 et 17 du RGPD).
Le 26 novembre 2021, la présidente de la CNIL a ainsi décidé de mettre la société CLEARVIEW AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées.
La société CLEARVIEW AI disposait d’un délai de deux mois pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Cependant, elle n’a apporté aucune réponse à cette mise en demeure. La présidente de la CNIL a, par conséquent, décidé de saisir la formation restreinte, en charge de prononcer des sanctions.
Sur la base des éléments portés à sa connaissance, la formation restreinte a décidé de prononcer une sanction pécuniaire maximale en application de l’article 83 du RGPD, soit 20 millions d’euros.
Au regard des risques très importants pour les droits fondamentaux des personnes concernées qui résultent du traitement mis en œuvre par la société, la formation restreinte a décidé d’enjoindre à CLEARVIEW AI de ne pas procéder, sans base légale, à la collecte et au traitement de données des personnes se trouvant en France et de supprimer les données de ces personnes qu’elle a déjà collectées, dans un délai de deux mois. La formation restreinte a assorti cette injonction d’une astreinte de 100 000 euros par jour de retard au-delà de ces deux mois.
Le détail des manquements relevés
Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD)
Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.
En effet, cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel.
Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur Internet des millions d’internautes en France. Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des États à des fins policières.
La gravité de ce manquement conduit la formation restreinte à enjoindre à Clearview AI de cesser, tant que ce traitement n’a pas de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.
Les droits des personnes non respectés (articles 12, 15 et 17 du RGPD)
Les plaintes reçues par la CNIL ont révélé les difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société Clearview AI.
D’une part, la société ne facilite pas l’exercice du droit d’accès des personnes concernées :
- en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
- en restreignant l’exercice de ce droit à deux fois par an, sans justification ;
- en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne.
D’autre part, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne répond pas du tout aux demandes.
La société, qui manque à ses obligations en vertu du RGPD, a également été sanctionnée pour ne pas avoir :
- facilité l’exercice des droits des personnes concernées ;
- fait droit aux demandes d’effacement formulées.
L’absence de coopération avec les services de la CNIL (article 31 du RGPD)
Tout au long de la procédure, CLEARVIEW AI a manqué à son obligation de coopérer avec les services de la CNIL. En effet, la société n’a répondu que de manière très partielle au questionnaire de contrôle qui lui avait été adressé et n’a apporté aucune réponse à la mise en demeure de la présidente de la CNIL du 26 novembre 2021.
La formation restreinte a donc également retenu un manquement à l’obligation de coopérer avec les services de la CNIL.
Pour approfondir
- La procédure de sanction de la CNIL
- Respecter les droits des personnes
- Reconnaissance faciale : la CNIL met en demeure CLEARVIEW AI de cesser la réutilisation de photographies accessibles sur internet
- Reconnaissance faciale : pour un débat à la hauteur des enjeux
- [EN] Facial recognition: 20 million euros penalty against CLEARVIEW AI