Par une délibération du 17 octobre 2022, la CNIL a condamné la société Clearview AI, spécialisée dans la reconnaissance faciale, à une amende de 20 millions d’euros, en raison de divers manquements à la réglementation applicable à la protection des données personnelles, et lui a enjoint de cesser de collecter et traiter, sans base légale, les données des personnes concernées se trouvant en France et de supprimer celles déjà collectées.
La société Clearview AI, établie aux Etats-Unis, a développé un logiciel de reconnaissance faciale qui repose sur l’aspiration de photographies de personnes publiquement accessibles sur Internet (sites web, réseaux sociaux, blogs, etc.). Aucun filtre n’est appliqué lors de la collecte des photographies. Les données de personnes majeures comme mineures sont donc collectées.
A partir de chaque photographie collectée, la société Clearview AI calcule un gabarit biométrique. Une empreinte numérique unique, propre au visage de la personne qui apparaît sur la photographie, est ainsi générée.
L’ensemble des photographies sont ensuite enregistrées dans une base de données. La société Clearview AI commercialise l’accès à cette base de données. A partir d’une photographie, une recherche est effectuée et permet de compiler l’ensemble des photographies collectées par la société Clearview AI au sujet d’une personne ainsi que le contexte dans lequel ces photographies sont en ligne (par exemple, un compte de réseau social).
La société Clearview AI offre notamment ses services à des forces de l’ordre afin d’identifier des auteurs ou des victimes d’infractions.
La société Clearview AI a ainsi collecté plus de 20 milliards de photographies à travers le monde, sans la moindre information des personnes concernées.
Alertée par des particuliers et l’ONG Privacy International sur les pratiques de la société Clearview AI, la CNIL a ouvert une enquête.
A la suite de ses investigations, la CNIL a mis en demeure la société Clearview AI de se conformer, dans un délai de deux mois, à la réglementation applicable à la protection des données personnelles, et notamment de :
- cesser la collecte et l’usage des données personnelles de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et faire droit aux demandes d’accès et d’effacement formulées.
La société Clearview AI n’a pas répondu à cette mise en demeure.
La CNIL considère que le traitement de données réalisé par la société Clearview AI ne repose sur aucune base légale.
A cet égard, la CNIL relève que le consentement des personnes concernées n’est pas recueilli.
En outre, la CNIL précise qu’au regard de son caractère particulièrement intrusif, un tel traitement ne saurait reposer sur l’intérêt légitime de la société Clearview AI. En effet, outre le grand nombre de données personnelles collectées, la société Clearview AI détient le gabarit biométrique d’une personne, ce qui, pour la CNIL, constitue une atteinte forte à la vie privée.
La CNIL précise également que la grande majorité des personnes concernées ne connaissent pas le logiciel exploité par la société Clearview AI et donc ne s’attendent pas à ce que leurs données soient réutilisées pour les finalités poursuivies par la société Clearview AI. La CNIL en conclut que l’atteinte à la vie privée des personnes est disproportionnée au regard des intérêts commerciaux et pécuniaires de la société Clearview AI.
Enfin, au regard de la nature même du traitement, la CNIL considère que les autres bases légales ne peuvent s’appliquer en l’espèce.
Par ailleurs, la CNIL considère, qu’en se contentant de répondre partiellement et tardivement aux demandes de droit d’accès, la société Clearview AI ne facilite pas l’exercice de ce droit par les personnes concernées et ne leur répond pas de manière effective. De même, en s’abstenant de répondre à une demande d’effacement de données, alors que celui-ci était de droit dès lors que le traitement ne repose sur aucune base légale valide, la société Clearview AI a méconnu son obligation de respecter le droit à l’effacement des personnes concernées.
Ainsi, par une délibération du 17 octobre 2022, la CNIL a prononcé une sanction de 20 millions d’euros à l’encontre de la société Clearview AI, assortie d’une astreinte de 100.000 euros par jour de retard à l’issue d’un délai de deux mois suivant la notification de sa délibération.
En outre, la CNIL a enjoint à la société Clearview AI de ne pas procéder, sans base légale, à la collecte et au traitement de données personnelles relatives à des personnes concernées qui se trouvent sur le territoire français dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise, et de supprimer l’ensemble des données de ces personnes.
Carole COUSON-WARLOP, avocate associée, spécialiste en droit de la propriété intellectuelle
Juliette BACHELARD, avocate collaboratrice
Comments