La France a menacé d’infliger une amende à la société de reconnaissance faciale Clearview AI pour avoir collecté illégalement les données des citoyens.
La Commission nationale de l’informatique et des libertés (CNIL) a déclaré que la société américaine avait collecté des milliers de photos de citoyens français sans leur consentement.
L’autorité a formellement ordonné à Clearview de supprimer sa base de données d’images dans les deux mois et de cesser de collecter des données.
La CNIL a déclaré dans un communiqué que la société avait violé le strict règlement général sur la protection des données (RGPD) de l’Union européenne.
“La collecte et l’utilisation des données biométriques sont effectuées sans base juridique”, a déclaré l’organisme de surveillance jeudi.
Clearview a également été citée pour ne pas avoir “traité de manière adéquate et efficace les droits des personnes, notamment les demandes d’accès à leurs données.”
La CNIL a ajouté qu’elle avait lancé une enquête après avoir reçu les premières plaintes concernant le logiciel de Clearview en mai 2020.
L’organisme de surveillance a déclaré qu’il serait autorisé à infliger une amende à la société américaine si les données n’avaient pas été supprimées dans un délai de deux mois.
Clearview a précédemment déclaré qu’elle n’a “jamais eu de contrat avec un client de l’UE et n’est pas actuellement disponible pour les clients de l’UE.”
Qu’est-ce que Clearview AI ?
L’entreprise américaine de logiciels Clearview AI (intelligence artificielle) s’est présentée comme “le plus grand réseau facial du monde.”
Selon la France, Clearview a amassé une base de données de 10 milliards d’images de citoyens du monde. Ces images ont été en grande partie prises ou “grattées” à partir de photos et de vidéos téléchargées sur Internet – par exemple via des plateformes de médias sociaux.
L’entreprise commercialise ensuite ces données par le biais de son logiciel de reconnaissance faciale, en les vendant par exemple aux organismes chargés de l’application de la loi pour les aider à identifier les délinquants.
Mais Clearview a été critiquée pour ses politiques de rapprochement des identités des citoyens.
“La grande majorité des personnes dont l’image est capturée et entrée dans le système ne savent pas qu’elles sont concernées”, a déclaré la CNIL.
“Cette société ne recueille pas le consentement des personnes concernées pour collecter et utiliser leurs photographies afin d’alimenter son logiciel”, ajoute l’organisme de surveillance.
“Clearview AI n’a pas non plus d’intérêt légitime à collecter et à utiliser ces données, compte tenu notamment du caractère particulièrement intrusif et massif du procédé.”
Selon la CNIL, plusieurs dizaines de millions d’internautes français ont vu leurs données raclées par Clearview AI. La société a également été citée pour avoir restreint la capacité des personnes à accéder à leurs propres données.
Autres plaintes relatives à la protection de la vie privée en Europe
L’organisme de surveillance français est le dernier en date à prendre des mesures à l’encontre de Clearview AI, même si l’entreprise affirme ne pas être liée par le GDPR.
En novembre, l’autorité indépendante britannique de protection de la vie privée a été saisie d’une plainte contre Clearview AI. Information Commissioner’s Office (ICO) a recommandé d’infliger à la société une amende de plus de 17 millions de livres sterling (20 millions d’euros) pour violation de la confidentialité des données.
“Les preuves que nous avons rassemblées et analysées suggèrent que Clearview AI traitait et pourrait continuer à traiter des volumes importants d’informations sur les citoyens britanniques à leur insu”, a déclaré la commissaire Elizabeth Denham.
Facebook — qui a récemment déclaré qu’il allait fermer son propre système de reconnaissance faciale — a également demandé à Clearview AI de cesser de récolter les images des utilisateurs de Facebook et Instagram.
Les groupes de défense de la vie privée de l’Union européenne ont également déposé des plaintes auprès des régulateurs européens contre Clearview AI.
Des organisations d’Autriche, d’Italie et de Grèce ont déclaré en mai que la société américaine avait stocké des données biométriques sur plus de 3 milliards de personnes sans leur permission.
Le stockage des photos des citoyens a suscité des inquiétudes dans le bloc, qui craint que le type de surveillance observé en Chine ne se produise également dans les démocraties occidentales.
En vertu du GDPR, les autorités chargées de la protection des données dans les États membres de l’UE sont autorisées à imposer des amendes allant jusqu’à 20 millions d’euros, ou 4 % du revenu annuel mondial d’une entreprise.
Clearview AI pourrait également faire l’objet d’une action similaire de la part de n’importe lequel des 27 organismes de surveillance du bloc, car elle n’a pas de base établie dans un pays particulier de l’UE.
