Mise en demeure de Clearview AI

Mis en demeure par la CNIL en décembre 2021, Clearview AI écope à présent d’une amende de 20 millions d’euros par la CNIL grecque

Article mis à jour le 02/09/2022

Commençons par un rappel des faits : le ministère ukrainien de la défense utilise depuis le samedi 12 mars 2022 la technologie de reconnaissance faciale mise au point par la société américaine Clearview AI, afin d’identifier les assaillants russes, les morts et lutter contre la désinformation.

Clearview AI, start-up américaine, commercialise une base image sous forme d’un moteur de recherche permettant de chercher une personne à partir d’une photographie, grâce aux dizaines de milliard d’images que la société récupère à partir d’un grand nombre de sites web, réseaux sociaux et plateformes vidéo publics. Ces données lui permettent alors de constituer un gabarit biométrique. Certaines des personnes concernées se trouvent sur le territoire européen et notamment en France, rendant applicable le RGPD et compétente la CNIL.

La CNIL reproche à Clearview AI de réaliser des traitements illicites de données personnelles puisque dépourvus de base légale (pas de consentement des personnes concernées ni d’intérêt légitime de sa part) violant l’article 6 du RGPD.

Elle lui reproche également de ne pas traiter les demandes d’exercice des droits reçus (notamment d’accès et d’effacement qui lui ont été adressés). La CNIL a d’ailleurs reçu plusieurs plaintes à ce sujet.

La CNIL met donc en demeure la société de cesser le traitement sur les données des personnes situées sur le territoire français, de faciliter l’exercice de leur droit et de répondre aux demandes d’effacement reçues dans un délai de 2 mois. A défaut, la formation restreinte de la CNIL pourra la sanctionner. Elle décide de rendre publique cette décision notamment dans le but d’informer le grand nombre de personnes concernées.

Depuis juillet 2022, son homologue grecque a condamné la société américaine à une amende de 20 millions d’euros et l’a enjoint de supprimer l’ensemble des données personnelles récoltées jusqu’alors, à l’insu des citoyens grecs. Cette amende au montant record montre à nouveau l’importance du Règlement Général à la Protection des Données et de sa bonne exécution au sein des entreprises. Ici, le non-respect de la vie privée par la collecte et la diffusion des visages des passants implique une grave violation du RGPD.

La vente d’un tel outil à des entreprises privées ajoute un degré supplémentaire, puisqu’à l’origine, cet outil était destiné uniquement aux forces de l’ordre.

La CNIL française qui avait mis en demeure Clearview AI pourrait à son tour infliger une sanction financière les jours prochains…

Pour en savoir plus :

La Cnil grecque inflige une amende de 20 millions d’euros à Clearview AI, Alice Vittar, 19 juillet 2022


Par Andrew Verbrugghe | News, Protection des données, Sécurité

Autres articles