Le service américain de reconnaissance faciale Clearview AI a été sanctionné, jeudi 20 octobre, d’une amende de 20 millions d’euros par la Commission nationale de l’informatique et des libertés (CNIL), autorité française chargée de la protection de la vie privée des citoyens. Il s’agit du montant maximal possible pour le non-respect du règlement européen sur la protection des données (RGPD). Par ailleurs, la CNIL « enjoint à la société Clearview AI de cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées », a ajouté la commission dans un communiqué.
Clearview AI propose un service permettant d’identifier une personne à partir de sa photographie. Ce logiciel est utilisé par des forces de l’ordre aux Etats-Unis et dans plusieurs pays. Pour fonctionner, l’entreprise « aspire des photographies provenant de très nombreux sites Web, y compris des réseaux sociaux », et extrait des visages depuis des vidéos accessibles publiquement, rappelle la CNIL.
« La société s’est approprié plus de 20 milliards d’images à travers le monde » sans informer, ni recueillir le consentement des personnes concernées pour le traitement des données biométriques, poursuit le régulateur, qui considère en conséquence que le logiciel de Clearview AI est « illicite ».
Des particuliers et l’association Privacy International ont alerté la commission sur ces pratiques depuis mai 2020, ce qui a conduit à l’ouverture d’une enquête coordonnée des autorités européennes de protection des données, puis à une mise en demeure le 26 novembre 2021, restée donc sans réponse.
L’entreprise n’entend pas se soumettre au RGPD
Clearview AI a désormais deux mois pour se plier aux injonctions, sous peine d’une astreinte de 100 000 euros par jour de retard. Mais l’entreprise new-yorkaise ne semble pas prête à se mettre en conformité.
« Il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur Internet, et il est donc impossible de supprimer les données des résidents français », a ainsi affirmé Hoan Ton-That, le patron de Clearview AI, dans un communiqué transmis à l’Agence France-Presse (AFP). « Clearview AI ne collecte que des informations accessibles au public sur Internet, comme tout autre moteur de recherche tel que Google, Bing ou DuckDuckGo », a-t-il ajouté. Dans un second communiqué M. Ton-That a précisé que son entreprise n’avait ni enseigne commerciale ni clients en France et dans l’Union européenne, et qu’elle n’entreprenait aucune activité la soumettant au RGPD.
La start-up américaine a déjà fait l’objet de sanctions dans d’autres pays de l’UE, des amendes de 8,85 millions d’euros en mai au Royaume-Uni, et 20 millions d’euros en mars en Italie. Il lui a aussi été imposé de supprimer les données personnelles des résidents de ces deux pays. Clearview AI, financée notamment par l’un des premiers investisseurs de Facebook, Peter Thiel, a accepté cette année de ne plus vendre ses bases de données biométriques à des entreprises aux Etats-Unis, comme le demandaient des associations de défense des droits civiques.