La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes

La CNIL[1] a mis en demeure la société américaine CLEARVIEW AI, le 26 novembre 2021, pour avoir collecté un grand nombre de données à caractère personnel sur les Français sans respecter les exigences du RGPD[2].
La société Clearview AI développe et commercialise un logiciel de reconnaissance faciale. Pour alimenter ce logiciel, la société scannait tous les sites Web publics à la recherche d’images. Une empreinte de ces images était ensuite calculée et conservée pour permettre aux clients de la société de retrouver l’identité de personnes à partir de photographies. Les forces de l’ordre de certains pays ont notamment utilisé ce logiciel pour « identifier les personnes dont elles ne connaissaient pas l’identité ».
Au total, plus de dix milliards d’images ont été collectées et traitées par Clearview AI.
La CNIL a rappelé à la société Cleaview que le RGPD s’applique aux entreprises étrangères lorsque les données permettent d’étudier le comportement des Européens[3], ce que la Commission considère être le cas, puisque le logiciel de Clearview AI permet de suivre l’évolution d’un individu. La Commission a également rappelé qu’une base légale[4] est nécessaire pour traiter des images représentant des personnes, même si ces images sont publiquement accessibles[5]. Enfin, la Commission a indiqué que la société new-yorkaise ne pouvait pas justifier son traitement par un intérêt légitime[6], qui est l’une des bases légales prévues par les textes, étant donné « l’atteinte forte à la vie privée »[7] des Français.
La CNIL a considéré, par conséquent, que le traitement réalisé par Cleaview a été réalisé illicitement et que le consentement des Français aurait du être obtenu avant que leurs données soient collectées.
Par ailleurs, la Commission reproche aussi à la société de ne pas avoir donné suite aux demandes de suppression de personnes qui ne souhaitaient pas être intégrées à la base de données de l’éditeur.
La CNIL a demandé à la société de ne plus collecter de données personnelles sur les Français et de supprimer les données collectées.
Lire :
De nombreux pays ont déjà interdit Clearview AI
La France n’est pas le seul pays à combattre le logiciel de Clearview AI et à exiger la suppression des données :
- le Canada, en février 2021, a jugé illicite le logiciel de Clearview AI et a demandé la suppression des données, considérant qu’il représentait une « surveillance de masse »[8] ;
- l’Australie, en octobre 2021, a jugé illicite le logiciel de Clearview AI et a demandé la suppression des données, considérant qu’il enfreint les lois du pays[9] ;
- le Royaume-Uni, en novembre 2021, a jugé illicite le logiciel de Clearview AI, a demandé la suppression des données et a annoncé une amende de £17 millions, considérant qu’il enfreint les lois sur la protection des données du pays[10] ;
- l’Italie, en mars 2022, a jugé illicite le logiciel Clearview AI, a demandé la suppression des données et a annoncé une amende de 20 millions €, considérant que les exigences du RGPD n’étaient pas respectées[11] ;
- la Grèce, en juin 2022, a jugé illicite les traitements de société Cleaview AI et a indiqué avoir infligé une amende de 20 millions à la société[12] ;
La décision de la CNIL étant le résultat d’une analyse de plusieurs pays européens, nul doute que d’autres pays prendront une décision similaire pour protéger leurs citoyens.
Notes et références
- ↑CNIL : Commission Nationale de l’Informatique et des Libertés.
- ↑RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
- ↑Le RGPD s’applique aux entreprises hors de l’Union européenne si les données collectées concernent les Européens et que le traitement concerne le comportement des personnes (source : RGPD, article 3). Voir « Quelles entreprises sont concernées par le RGPD ? ».
- ↑Le traitement de données à caractère est licite uniquement si l’entreprise en charge du traitement justifie d’une base légale, c’est-à-dire une raison pour réaliser le traitement. Il existe six bases légales possibles, le consentement des personnes étant une possibilité (source : RGPD, article 6). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
- ↑Les données à caractère personnel qui sont publiquement accessibles et/ou gratuites sont soumises au RGPD. Voir « Les données publiquement accessibles peuvent-elles être des données à caractère personnel ? ».
- ↑L’intérêt légitime est l’une des six bases légales pour réaliser un traitement sur des données à caractère personnel. Elle peut être utilisée pour justifier un traitement si « une relation pertinente et appropriée entre la personne concernée et [l’entreprise] » (source : RGPD, considérant 47). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
- ↑L’intérêt légitime peut être utilisé pour justifier un traitement « à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée » (source : RGPD, article 6-1-f). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
- ↑La Commission canadienne a jugé les traitements de la société Clearview AI illicites en février 2021 (source : Commissariat à la protection de la vie privée du Canada).
- ↑La Commission australienne a jugé les traitements de la société Clearview AI illicites en octobre 2021 et a demandé la suppression des données (source : Office of the Australien Information Commissionner, en anglais).
- ↑La Commission britannique a jugé les traitements de la société Clearview AI illicites en novembre 2021 (source : ICO, en anglais).
- ↑La Commission italienne a jugé les les traitements de la société Clearview AI illicites en mars 2022 (source : GPDP, gpdp.it, en italien et anglais).
- ↑La Commission grècque a jugé les traitements de la société Clearview AI illicites en juin 2022 (source : Homo Digitalis, en anglais et grec).