Avez-vous déjà publié des photos de vous ou de vos proches sur les plateformes et les réseaux sociaux ? Si la réponse est positive, vos visages sont peut-être déjà enregistrés dans l’immense base de données de Clearview AI. Et cela n’est pas passé inaperçu. Depuis plusieurs années, cette société américaine qui vend des logiciels de reconnaissance faciale a été reconnue coupable, sur le Vieux continent, d’avoir enregistré des photos d’Européens sans autorisation. Les autorités italiennes, françaises, néerlandaises, grecques et autrichiennes ont ordonné à l’entreprise domiciliée aux États-Unis d’effacer les images et les données des Européens. Elles l’ont condamnée à payer des amendes qui avoisinent au total les 100 millions d’euros, pour violation du RGPD, le règlement européen qui protège les données personnelles… en vain.
Car depuis près de trois ans, Clearview AI ignore royalement les décisions émises en Europe. Aucune des autorités du Vieux continent n’est parvenue à faire exécuter les ordres de paiement et d’actions à la société américaine. Pour tenter de mettre fin à « cette impunité », NOYB, l’association du juriste autrichien Max Schrems, a choisi, le mois dernier, d’attaquer au pénal Clearview dans son pays. L’idée : tenter de mettre en jeu la responsabilité personnelle des dirigeants de l’entreprise américaine.
A lire aussi : Reconnaissance faciale : Clearview AI ignorerait les amendes et directives des autorités de l’UE, cette ONG l’attaque au pénal
Face à cette impasse, la CNIL, l’autorité française chargée de protéger nos données personnelles, n’a qu’un message, préventif : évitez de publier des photographies de vous ou de vos proches sur le Web. En les rendant« accessibles à tous, ils risquent d’alimenter les bases de données de reconnaissance faciale comme celle de Clearview ». Comment une telle situation est-elle possible ?
C’est quoi Clearview AI ?
Cette société domiciliée à New York, aux États-Unis, vend des logiciels de reconnaissance faciale dans le monde entier, à des services de police et des sociétés privées. Pendant longtemps inconnue du grand public, son existence est révélée par le New York Times en 2020. Ses logiciels permettent d’identifier n’importe qui dans la rue, avec moultes détails sur ses activités publiques et privées : cette technologie donne un sacré coup au principe d’anonymat dans l’espace public et au respect de la vie privée, protégés en Europe.
C’est d’ailleurs peut-être pour cette raison que l’entreprise explique, sur son site Web, ne pas commercialiser ses solutions sur le Vieux continent – de même qu’au Royaume-Uni, en Australie et en Nouvelle-Zélande. Contactée par 01net.com, l’entreprise n’a pas répondu à notre demande d’entretien, à l’heure de la publication de cet article.
De quoi est-elle accusée ?
Clearview AI est connue pour avoir constitué une énorme base de données en prélevant des photos publiées notamment sur Facebook et YouTube, y compris provenant d’Europe. Sa base de données, présentée comme « la plus grande du monde » comprendrait plus de 60 milliards d’images, selon la société.
Dans plusieurs pays européens dont la France, des particuliers ont cherché à faire effacer leurs visages collectés sans leur autorisation. Dans les années 2020, ils ont donc attaqué la société dans l’Hexagone, mais aussi en Grèce, en Italie, en Autriche et aux Pays-Bas, sur le terrain des données personnelles.
Avec succès : dans tous ces pays, en 2022 et 2023, les autorités de défense de la vie privée, comme la CNIL en France, ont estimé que Clearview avait bien collecté et utilisé, sans base légale, les données de personnes se trouvant sur le Vieux continent. L’entreprise était enjointe de cesser cette collecte et cette utilisation. Elle devait aussi supprimer les données prélevées illégalement.
Dans cette affaire, les autorités européennes ont rappelé que le RGPD s’applique, quelle que soit la domiciliation de l’entreprise concernée, à partir du moment où une donnée personnelle d’un Européen est en jeu. Une photo d’un visage étant bien une donnée personnelle, particulièrement sensible, Clearview était bien soumis au RGPD. Les différentes CNIL ont également édicté des amendes avoisinant au total les 100 millions d’euros – dont 20 millions pour l’État français prononcés en octobre 2022. Problème : depuis, Clearview n’a jamais exécuté les décisions des autorités européennes. Non seulement elle n’a pas effacé les visages, mais elle a refusé de payer le moindre euro. Elle est restée tout simplement silencieuse.
Comment est-ce possible ?
Depuis des années, Clearview profite littéralement de plusieurs trous dans la raquette de notre système. Habituellement, lorsqu’une société ne paie pas une amende ou n’exécute pas une décision de justice, les autorités vont saisir ses actifs – elles vont ponctionner elles même sur des comptes bancaires ou des biens immobiliers ce que l’entreprise refuse de payer. Mais ici, Clearview est hors de portée car elle n’a aucune créance sur le sol européen.
C’est d’ailleurs ce que nous a rappelé l’autorité chargée des données grecque, que nous avons contactée : « étant donné que CLEARVIEW AI ne semble pas exercer d’activité financière dans l’UE, le processus de recouvrement de l’amende n’a pas encore abouti ». Côté français, le Trésor public s’est aussi heurté à un mur. À ce jour, l’amende n’a toujours pas été payée, malgré l’astreinte journalière, nous indique la CNIL.
Le gendarme de nos données personnelles précise d’ailleurs que « lorsque le débiteur est en dehors de l’Union européenne, des procédures de coopération internationales existent, mais relèvent de la voie diplomatique et elles sont sous la responsabilité du ministère de l’Économie et des Finances ».
Nous avons donc contacté ledit ministère. Réponse de Bercy : il n’y aura pas de commentaire sur une affaire en cours. Mais « lorsque l’entreprise ne dispose ni de représentant légal ni d’avoirs localisables sur le territoire national ou de l’UE, seul un règlement volontaire peut être envisagé. Dans ce cadre, la seule voie restante pour l’administration consiste à activer le canal diplomatique afin de tenter de parvenir à un dénouement du dossier ».
Comprenez : non seulement l’entreprise américaine n’a aucun avoir à saisir en Europe. Mais elle n’a jamais désigné de représentant légal dans l’Union européenne. Or, pour qu’une autorité européenne puisse notifier ses décisions, il lui faut un point de contact – à l’image de ce qui s’est passé avec la plateforme australienne Kick dont les notifications se sont un temps perdues, faute de représentant en Europe. Pour l’Italie et la Grèce, les demandes d’exécution des autorités locales se sont littéralement évaporées dans les limbes de l’administration, rapportait en avril dernier le média italien IrpiMedia. Il resterait donc une seule et unique voie : celle de la diplomatie.
Pourquoi ça coince, niveau diplomatique ?
Or, en la matière, l’heure est loin d’être à la coopération. Le gouvernement de Donald Trump prône la loi du plus fort – la loi américaine – et fustige toute amende ou réglementation européenne, quasi considérée comme des affronts à la puissance américaine.
Au niveau juridique, il n’existe aujourd’hui aucun traité ou accord international entre les pays européens concernés et les États-Unis, qui permettraient d’exécuter les sanctions administratives. « Les accords qui existent entre la France et les États-Unis en matière de données personnelles ne portent que sur le transfert de données. La difficulté rencontrée concernant Clearview, c’est qu’il n’y a pas de conventions qui rendent opposables et applicables les sanctions administratives sur le territoire américain », confirme Maître Mathilde Croze, avocate associée au cabinet Lerins, que nous avons sollicitée.
Au cœur du problème se trouve un vide juridique, déjà pointé du doigt en 2021 par les auteurs d’un rapport publié par le Comité européen de la protection des données (le CEPD ou l’EDPB en anglais), l’organisme qui veille à la bonne application du RGPD. Résultat, lorsque les autorités européennes sanctionnent des entreprises qui n’ont aucune créance en Europe comme Clearview, cela reste des coups d’épée dans l’eau, puisque les décisions et les amendes resteront symboliques.
Ajoutez à cela « qu’il y a, en plus, un gap culturel ». Outre Atlantique, « le droit au respect de la vie privée passe après les sujets de sécurité comme celle de l’État », explique Mathilde Croze. « Aux États-Unis, il y a toute cette culture qui s’est construite autour du droit de porter une arme pour se défendre. La perception de la vidéosurveillance n’est pas du tout la même » de part et d’autre de l’Atlantique. « En Europe, c’est la vie privée qui prime, aux États-Unis, c’est la lutte contre la criminalité. Par ailleurs, réglementation en matière de données personnelles sur le Nouveau continent n’est pas du tout la même qu’en Europe. Elle est fragmentée, sectorielle et pro-business. Il n’y a pas de loi fédérale aux États-Unis ni d’autorité administrative indépendante qui est chargée de veiller à l’application de la réglementation en matière de données », souligne l’avocate spécialisée.
Y a-t-il une porte de sortie ?
La situation va-t-elle évoluer dans les prochains mois ? C’est tout l’objectif de Noyb, l’association qui a fait tomber à deux reprises l’accord transatlantique sur les données personnelles. L’organisation a cette fois attaqué au pénal Clearview en Autriche, pour tenter de mettre fin à l’impasse judiciaire. Son objectif : mettre derrière les barreaux des dirigeants de Clearview qui risquent théoriquement des peines de prison. Mais là aussi, même dans un tel cas, il n’est pas certain que les États-Unis reconnaissent et appliquent la décision de justice.
Au niveau diplomatique, les négociations ont-elles des chances d’aboutir ? Pour Maître Croze, les chances sont plus que minces. Non seulement l’actuel président américain prône le respect de la loi du plus fort (la loi américaine). Mais surtout, Washington n’a en fait aucun intérêt à accepter un traité international sur ce sujet. « Les États-Unis réussissent déjà à imposer leur droit sur des acteurs étrangers », y compris sur des entités françaises, sans le moindre accord, explique l’avocate spécialisée dans les données personnelles.
Pour preuve : toutes les amendes astronomiques payées par des banques françaises ou des entreprises stratégiques comme Alstom en raison d’une violation alléguée d’une loi américaine extra-territoriale (anti-corruption) – une loi qui s’appliquerait aux entités étrangères, simplement parce qu’elles auraient utilisé le dollar dans une transaction. Comme l’a montré Frédéric Pierucci, l’ancien dirigeant d’Alstom, Washington utilise le droit américain comme une arme économique pour affaiblir ou racheter les concurrents européens des entreprises américaines.
À lire aussi : Frédéric Pierucci, ex-dirigeant d’Alstom : « réfléchissez à deux fois avant d’utiliser des outils numériques américains »
Résultat, d’un côté, l’Europe accepte d’appliquer ces lois américaines et de payer des amendes monstres. Mais de l’autre, les États-Unis ne veulent pas entendre parler de sanctions administratives prises sous l’égide du RGPD. Maitre Croze enfonce le clou. « C’est quand même choquant de se dire que des grandes entreprises françaises ont accepté de payer des amendes monstres parce qu’elles auraient violé une loi américaine anti-corruption » alors que nous, « lorsque nos autorités indépendantes émettent des sanctions administratives, nous ne sommes pas capables de les faire appliquer, y compris au niveau européen ».
Note de la rédaction : cet article a été modifié pour supprimer la mention « chose impossible sur le terrain des données personnelles » à la fin du 2e paragraphe. Contrairement à ce que cette mention laissait entendre, il existe en droit français un droit pénal des données personnelles.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.