Par une décision rendue le 20 octobre, la Commission nationale de l’informatique et des libertés (CNIL) a condamné la start-up new-yorkaise Clearview AI au paiement d’une amende de 20 millions d’euros pour avoir violé le règlement général sur la protection des données à caractère personnel (RGPD).
Manifestant volontarisme et fermeté, la CNIL a sanctionné avec gravité les agissements de cette entreprise américaine qui propose l’accès à une base de données de milliards d’individus constituée par l’extraction de l’ensemble des photographies de personnes librement accessibles sur Internet, notamment sur les réseaux sociaux.
En associant à ces images quelques données supplémentaires disponibles, telles que le lieu géographique, l’âge ou la profession, il est alors possible pour les bénéficiaires de ce service de disposer d’un profil comportemental d’une personne dont on peut suivre de surcroît l’évolution dans le temps. De nombreuses forces de l’ordre dans le monde auraient recours à cet outil assurément précieux pour des enquêteurs de police, selon le New York Times.
C’est d’ailleurs au nom de la répression de la criminalité que la société américaine justifiait ce traitement de données personnelles, avant qu’il ne soit révélé que cette société fournissait également ses services à des entreprises privées ou à des particuliers fortunés. En somme, c’est un véritable système de surveillance généralisée à des fins exclusivement commerciales qui est institué par cette collecte systématique de données biométriques servant de support aux requêtes d’identification soumises à son logiciel.
Le profilage des individus n’est pas interdit par le RGPD
On mesure pleinement les dangers d’une telle base de données et les usages discriminatoires qui peuvent en être faits par des recruteurs à l’embauche ou des propriétaires de logements mis à la location. De nombreuses autorités de protection des données ont alors engagé des poursuites contre cette société, dont la CNIL, dans une décision de condamnation qui n’était pas évidente au regard du droit des données personnelles en vigueur.
Rien ne permettait en effet d’affirmer avec certitude que, par principe, au titre de son intérêt économique, une entreprise ne pouvait pas légalement exploiter des données rendues publiques en vue d’exercer une activité de profilage des individus. Et pour cause : le profilage des individus n’est pas interdit par le RGPD.
Ce texte autorise l’analyse des personnes à travers leurs données disponibles sur Internet afin de cerner leur personnalité, leurs habitudes d’achat ou leur comportement. Il est aussi possible de faire des prédictions sur la base des informations collectées telles que la performance au travail, la situation financière ou l’état de santé, et d’en tirer des conséquences juridiques comme l’octroi d’un crédit ou l’accord à la conclusion d’une police d’assurance.
Il vous reste 54.82% de cet article à lire. La suite est réservée aux abonnés.