La CNIL met en demeure l’entreprise de reconnaissance faciale Clearview

En mai 2020, l’ONG Privacy International avait adressé une réclamation de cinquante pages à la CNIL, estimant que Clearview AI ne respectait pas le droit encadrant la collecte et l’utilisation de données personnelles. LE MONDE

La France est le deuxième pays à infliger un camouflet à Clearview AI, entreprise controversée spécialisée dans la reconnaissance faciale. Jeudi 16 décembre, la Commission nationale de l’informatique et des libertés (CNIL), a mis en demeure cette société américaine, lui demandant de supprimer les données collectées en France et de cesser, sur le territoire français, les activités concernées.

Créée en 2017, cette firme fournit aux forces de l’ordre de plusieurs pays des outils de reconnaissance faciale dont les algorithmes ont été entraînés en aspirant des milliards de photographies publiées sur Internet, notamment sur les réseaux sociaux.

Un traitement illicite

De premières plaintes concernant Clearview AI avaient été déposées auprès de la CNIL à partir de mai 2020, et, un an plus tard, l’ONG Privacy International adressait une réclamation de cinquante pages à la commission, estimant que cette entreprise ne respectait pas le droit encadrant la collecte et l’utilisation de données personnelles.

Dans un communiqué, la CNIL juge que Clearview AI s’est adonnée, en France, à « un traitement illicite de données personnelles », car « cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel ». Elle note que les Français publiant des photos sur les réseaux sociaux ne « s’attendent pas » que ces dernières soient aspirées pour nourrir l’algorithme d’un logiciel de reconnaissance faciale, et réfute la nécessité d’un tel procédé :

« Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur Internet de plusieurs dizaines de millions d’internautes en France. »

Par ailleurs, la CNIL estime que Clearview AI enfreint les articles 12, 15 et 17 du règlement général sur la protection des données personnelles (RGPD), ne permettant pas aux internautes d’exercer correctement leur droit d’information et d’accès aux données collectées. « La société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées », estime ainsi la commission. Clearview AI a désormais deux mois pour se plier à la mise en demeure de la CNIL. Si l’entreprise ne répond pas dans ce délai, ou que sa réponse ne satisfait pas la commission, cette dernière peut engager une procédure de sanction financière.

Des enquêtes dans plusieurs pays

La France n’est pas la première nation à prendre une décision relative à Clearview AI à la suite des réclamations déposées par Privacy International. Au Royaume-Uni, le régulateur, comme son homologue français, a rendu une décision provisoire, demandant à l’entreprise de cesser toute collecte de données sur le territoire et de supprimer celles qui ont déjà été aspirées et traitées, sous peine d’une amende de 17 millions de livres (environ 20 millions d’euros). L’entreprise américaine peut pour le moment répondre au régulateur britannique, qui rendra sa décision au cours de l’année 2022.

En mai dernier, Privacy International avait également adressé des réclamations auprès des autorités italiennes, grecques et autrichiennes. L’ONG fait savoir aujourd’hui que des enquêtes ont été ouvertes dans ces trois pays.

Dans un communiqué envoyé au site spécialisé TechCrunch, Clearview AI a balayé la décision de la CNIL. Comme elle n’opère pas en France ou dans l’Union européenne, mais aux Etats-Unis, l’entreprise estime, en effet, ne pas être soumise au RGPD. « Nous collectons uniquement des données publiques mises en ligne sur Internet », avance, par ailleurs, le PDG de Clearview AI, Hoan Ton-That. Un argument répété depuis longtemps par l’entreprise, mais qui échoue à convaincre aussi bien les régulateurs que les entreprises concernées par ces aspirations massives de données : en février 2020, Twitter, Google et Facebook avaient ordonné à la société américaine de cesser toute collecte de photographies sur leurs plates-formes.

Source : https://www.lemonde.fr/pixels/article/2021/12/17/la-cnil-met-en-demeure-l-entreprise-de-reconnaissance-faciale-clearview_6106474_4408996.html