La CNIL annonce avoir mis en demeure la start-up américaine Clearview AI concernant sa reconnaissance faciale. Elle a été en mesure de collecter plus de 10 milliards de photos de visages de citoyens sur des sites Internet et des réseaux sociaux pour constituer une base de données.
Une mise en demeure de la CNIL pour Clearview AI
Clearview AI était déjà dans le viseur de plusieurs autorités et voilà que la CNIL, autorité française, sévit. Elle lui ordonne de cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français et de supprimer les données qu’elle détient dans un délai de deux mois.
C’est en mai 2021 que le régulateur français des données avait lancé son instruction sur la start-up, après la plainte détaillée de l’ONG Privacy International. Cette dernière estimait que l’entreprise ne respectait pas le droit français et le règlement européen de protection des données personnelles (RGPD). Aux côtés de plusieurs organisations européennes de défense de la vie privée et des droits numériques, l’ONG s’était également adressée aux organismes de protection des données personnelles autrichienne, britannique, italienne et grecque.
Parmi les manquements au RGPD constatés par la CNIL, la Commission souligne une collecte d’images et une utilisation des données biométriques « sans base légale ». Mais également « l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès ». En effet, la collecte de milliards de photos et vidéos permet à Clearview de commercialiser ses services. Et dans le cas présent, il n’y a pas le consentement des personnes sur les photos.
« Ces données biométriques sont particulièrement sensibles, notamment parce qu’elles sont liées à notre identité physique (ce que nous sommes) et qu’elles permettent de nous identifier de façon unique », rappelle la CNIL. Elle regrette que « l’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif ».
Les autres régulateurs européens sont prévenus
Clearview AI vend notamment ses services aux forces de l’ordre de plusieurs pays, dont la police suédoise et des polices de plusieurs États américains, qui souhaitent identifier des visages de suspects ou témoins, capturés par exemple par des caméras de surveillance de rues ou dans les transports en commun. Son logiciel de reconnaissance faciale a notamment servi dans le cadre de l’enquête sur les émeutiers du Capitole, au lendemain des incidents du 6 janvier dernier. La start-up affirme que son logiciel de reconnaissance faciale trouve une correspondance dans 75 % des cas.
Si la CNIL est le premier régulateur en Europe a ordonné à Clearview AI de cesser ses activités illégales, sa procédure ne s’est pas arrêtée aux frontières françaises. Dans sa mise en demeure, la Commission indique en effet « avoir coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société en Europe ». Si, à l’issue du délai de deux mois, la start-up américaine ne s’est pas conformée aux demandes de la CNIL, cette dernière pourrait prononcer une sanction pécuniaire.
