La France a infligé l’amende maximale autorisée par le RGPD à Clearview AI, une entreprise qui a illégalement scanné des visages et stocké les données collectées au cours du processus. Clearview s’est montré peu coopératif dans l’enquête.
Images collectées sur Internet
Clearview collecte des photos de personnes trouvées sur des sites internet, des réseaux sociaux ou des plateformes de vidéos. Pour ce faire, l’entreprise scanne systématiquement une partie considérable d’Internet, en extrait les données pertinentes pour ses finalités et les stocke. Avec eux, une base de données d’images a été construite. De plus, les photos ont été utilisées pour entraîner un algorithme de reconnaissance faciale. Clearview offre l’accès à sa propre base de données et à son algorithme principalement aux forces de l’ordre, censées pouvoir identifier les personnes recherchées via une seule photo. Cela semble effectivement possible, puisque l’entreprise dispose probablement de plus de 20 milliards de photos. Le problème est que ni les sites Web scannés ni les personnes représentées sur les photos n’ont jamais donné leur consentement à cette pratique. Il s’agit donc en fait d’un vol de données qui sont utilisées à des fins non autorisées, ce qui permet une surveillance de masse. Clearview est donc critiqué depuis un certain temps.
Avertissement ignoré
Étant donné que Clearview n’exploite pas de succursale dans l’UE, chaque pays de l’UE est lui-même responsable de la poursuite des infractions qui affectent la portée de ses lois. En France, l’autorité de protection des données CNIL enquête et, selon ses propres informations, elle a reçu ses premières plaintes concernant les pratiques de Clearview dès mai 2020. L’autorité a été contactée à la fois par des particuliers et par l’organisation Privacy International. Au cours des enquêtes ouvertes, la CNIL a déterminé que Clearview était en double violation du RGPD. Par exemple, l’entreprise traite illégalement toutes les données avec lesquelles elle travaille, car il n’y a aucun consentement des personnes concernées ni aucune autre base juridique. En outre, la société méconnaît le droit des personnes concernées d’accéder et de supprimer les données collectées les concernant.
En conséquence, la CNIL a émis un avertissement à l’encontre de Clearview. L’entreprise a été sommée de cesser de collecter et d’utiliser les données des citoyens français. Il a également été ordonné de supprimer toutes les données existantes des ressortissants français. Clearview n’a pas répondu dans le délai de deux mois. Cela a à son tour déclenché un processus de sanctions dans lequel Clearview n’a pas suffisamment coopéré avec l’autorité. Par exemple, des formulaires auraient été incomplets, voire pas du tout remplis. Clearview a ainsi une nouvelle fois violé le RGPD, qui prévoit une obligation de coopération avec les autorités compétentes.
Amende d’un montant maximum
L’autorité a tenu compte de tout cela lors de la détermination de l’amende. Au final, Clearview a été condamnée à une amende de 20 millions d’euros – la sanction maximale envisagée. Si l’entreprise ne paie pas ou ne répond pas, la pénalité augmente de 100 000 euros pour chaque jour de non-respect du délai.
L’amende française n’est pas la première imposée à Clearview. Le régulateur britannique a déjà imposé une amende d’environ huit millions d’euros. Au Canada, l’exploitation du service a été interdite dans certaines provinces. Clearview, cependant, ne semble pas impressionné par tout cela. Plus tôt cette année, la société a annoncé son intention d’augmenter sa base de données d’images à 100 millions d’images afin de pouvoir bientôt identifier chaque personne sur Terre. L’entreprise prévoit également la reconnaissance faciale en temps réel, la reconnaissance des plaques d’immatriculation et d’autres outils de surveillance qui permettront une surveillance transparente de chaque espace public et semi-public.