La CNIL a mis en demeure la société américaine CLEARVIEW AI, le 26 novembre 2021, pour avoir collecté un grand nombre de données à caractère personnel sur les Français sans respecter les exigences du RGPD.

La société CLEARVIEW AI développe et commercialise un logiciel de reconnaissance faciale. Pour alimenter ce logiciel, la société scannait tous les sites Web publics à la recherche d’images. Une empreinte de ces images était ensuite calculée et conservée pour permettre aux clients de la société de retrouver l’identité de personnes à partir de photographies. Les forces de l’ordre de certains pays ont notamment utilisé ce logiciel pour « identifier les personnes dont elles ne connaissaient pas l’identité ».

Au total, plus de dix milliards d’images ont été collectées et traitées par CLEARVIEW AI.

La CNIL a rappelé à la société CLEARVIEW que le RGPD s’applique aux entreprises étrangères lorsque les données permettent d’étudier le comportement des Européens[1], ce que la Commission considère être le cas, puisque le logiciel de CLEARVIEW AI permet de suivre l’évolution d’un individu. La Commission a également rappelé qu’une base légale[2] est nécessaire pour traiter des images représentant des personnes, même si ces images sont publiquement accessibles[3]. Enfin, la Commission a indiqué que la société new-yorkaise ne pouvait pas justifier son traitement par un intérêt légitime[4], qui est l’une des bases légales prévues par les textes, étant donné « l’atteinte forte à la vie privée »[5] des Français.

La CNIL a considéré, par conséquent, que le traitement réalisé par CLEARVIEW a été réalisé illicitement et que le consentement des Français aurait du être obtenu avant que leurs données soient collectées.

Par ailleurs, la Commission reproche aussi à la société de ne pas avoir donné suite aux demandes de suppression de personnes qui ne souhaitaient pas être intégrées à la base de données de l’éditeur.

La CNIL a demandé à la société de ne plus collecter de données personnelles sur les Français et de supprimer les données collectées.

Mise à jour d’octobre 2022 : La CNIL a finalement sanctionné la société CLEARVIEW d’une amende de 20 millions d’euros, car « la société n’a apporté aucune réponse aux demandes de la CNIL », et parce que « les manquements commis sont particulièrement graves, en particulier au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD, du nombre de personnes concernées et du caractère particulièrement intrusif du traitement en cause ». Une astreinte de 100 000 euros par jour a également été prononcée, dans le cas où la société ne se met pas en conformité.

Mise à jour de mai 2023 : La CNIL a prononcé une amende supplémentaire de 5,2 millions d’euros correspondant à la liquidation de l’astreinte, car « la société ne lui a transmis aucun élément permettant d’attester de sa mise en conformité à l’injonction prononcée à son encontre ».

Lire :

Des autres pays ont également interdit Clearview AI

La France n’est pas le seul pays à combattre le logiciel de CLEARVIEW AI et à exiger la suppression des données :

  • le Canada, en février 2021, a jugé illicite le logiciel de CLEARVIEW AI et a demandé la suppression des données, considérant qu’il représentait une « surveillance de masse »[6] ;
  • l’Australie, en octobre 2021, a jugé illicite le logiciel de CLEARVIEW AI et a demandé la suppression des données, considérant qu’il enfreint les lois du pays[7] ;
  • le Royaume-Uni, en novembre 2021, a jugé illicite le logiciel de CLEARVIEW AI, a demandé la suppression des données et a annoncé une amende de £17 millions, considérant qu’il enfreint les lois sur la protection des données du pays[8] ;
  • l’Italie, en mars 2022, a jugé illicite le logiciel CLEARVIEW AI, a demandé la suppression des données et a annoncé une amende de 20 millions €, considérant que les exigences du RGPD n’étaient pas respectées[9] ;
  • la Grèce, en juin 2022, a jugé illicite les traitements de société CLEARVIEW AI et a indiqué avoir infligé une amende de 20 millions à la société[10] ;

La décision de la CNIL étant le résultat d’une analyse de plusieurs pays européens, nul doute que d’autres pays prendront une décision similaire pour protéger leurs citoyens.

Notes et références

  1. Le RGPD s’applique aux entreprises hors de l’Union européenne si les données collectées concernent les Européens et que le traitement concerne le comportement des personnes (source : RGPD, article 3). Voir « Quelles entreprises sont concernées par le RGPD  ? ».
  2. Le traitement de données à caractère est licite uniquement si l’entreprise en charge du traitement justifie d’une base légale, c’est-à-dire une raison pour réaliser le traitement. Il existe six bases légales possibles, le consentement des personnes étant une possibilité (source : RGPD, article 6). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
  3. Les données à caractère personnel qui sont publiquement accessibles et/ou gratuites sont soumises au RGPD. Voir « Les données publiquement accessibles peuvent-elles être des données à caractère personnel ? ».
  4. L’intérêt légitime est l’une des six bases légales pour réaliser un traitement sur des données à caractère personnel. Elle peut être utilisée pour justifier un traitement si « une relation pertinente et appropriée entre la personne concernée et [l’entreprise] » (source : RGPD, considérant 47). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
  5. L’intérêt légitime peut être utilisé pour justifier un traitement « à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée » (source : RGPD, article 6-1-f). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
  6. La Commission canadienne a jugé les traitements de la société Clearview AI illicites en février 2021 (source : Commissariat à la protection de la vie privée du Canada).
  7. La Commission australienne a jugé les traitements de la société Clearview AI illicites en octobre 2021 et a demandé la suppression des données (source : Office of the Australien Information Commissionner, en anglais).
  8. La Commission britannique a jugé les traitements de la société Clearview AI illicites en novembre 2021 (source : ICO, en anglais).
  9. La Commission italienne a jugé les les traitements de la société Clearview AI illicites en mars 2022 (source : GPDP, gpdp.it, en italien et anglais).
  10. La Commission grècque a jugé les traitements de la société Clearview AI illicites en juin 2022 (source : Homo Digitalis, en anglais et grec).

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données