Les images enregistrées dans les bases de données de Clearview AI sont faites à l'insu des personnes et servent notamment aux forces de l'ordre dans leur activité de recherche de suspects. (crédit : Cottonbro))
La commission nationale de l'informatique et des libertés a infligé une amende de 20 millions d'euros à la société spécialisée dans les technologies de reconnaissance faciale, Clearview AI. Une décision qui intervient après une mise en demeure non suivie d'effet et la condamnation à des peines similaires partout en Europe.
Rien ne va plus pour Clearview AI. Cette société qui a conçu un logiciel de reconnaissance faciale dont la base de données repose sur l'aspiration de photos et vidéos accessibles sur Internet était dans le collimateur de la Cnil depuis décembre dernier. A l'époque, l'organisme a mis en demeure ce fournisseur pour un traitement illicite de données personnelles (manquement à l'article 6 du RGPD) car la collecte et l'utilisation des données biométriques s'effectue sans base légale. Et aussi pour l'absence de prise en compte satisfaisante et effective des droits des personnes (articles 12, 15 et 17 du RGPD).
Le délai de cette mise en demeure largement dépassé - d'une durée de deux mois - ce n'est que maintenant que la Cnil inflige au groupe une amende, à savoir de 20 millions d'euros. « La société s'est appropriée plus de 20 milliards d'images à travers le monde. Grâce à cette collecte, la société commercialise l'accès à sa base d'images de personnes sous la forme d'un moteur de recherche dans lequel un individu peut être recherché à l'aide d'une photographie. La société offre notamment ce service à des forces de l'ordre, afin d'identifier des auteurs ou des victimes d'infraction », explique la Cnil.
Des amendes aussi en Italie, en Grèce et en Angleterre
Au regard des risques très importants pour les droits fondamentaux des personnes concernées qui résultent du traitement mis en oeuvre par la société, la Cnil enjoint par ailleurs Clearview AI à ne plus procéder sans base légale à la collecte et au traitement de données de personnes se trouvant en France et de supprimer toutes les données déjà collectées. Le cas échéant, le fournisseur devra s'acquitter d'une astreinte de 100 000 € par jour de retard sans exécution de ces décisions d'ici deux mois.
La Cnil n'est pas la seule à avoir dans son viseur Clearview AI. C'est également le cas partout en Europe (Angleterre, Grèce, Italie, ...) pour des montants similaires. Toutefois, on peut s'interroger sur le retard de l'institution française à l'allumage par rapport à ses homologues et le fait d'avoir agi largement après la fin de la période de mise en demeure qui théoriquement s'achevait en février 2022...
Suivez-nous