La société américaine spécialisée dans la reconnaissance faciale, développée sur la base d’images pompées allègrement sur le Net, vient d’écoper d’une nouvelle douloureuse, cette fois-ci en France. La Cnil exige, outre cette amende de 20 millions d’euros, que Clearview cesse sa collecte illicite de photographies de Français et de Françaises.
Clearview AI est de ses sociétés, à l’instar de Palantir ou de NSO, auxquelles le qualificatif « diabolique » est souvent accolé. Cette entreprise américaine est spécialisée dans la reconnaissance faciale et elle fournit régulièrement ses solutions aux forces de l’ordre de pays divers et variés. Pour alimenter ses modèles, Clearview procède à un scrapping en règle de toute image en ligne passant à portée.
Ainsi, elle se vante d’avoir collecté quelque 20 milliards de photographies et autres captures de vidéo à travers le monde. Autant d’images qui sont des données personnelles au sens du RGPD… et pourtant jamais Clearview AI n’a demandé leur avis ni leur consentement aux personnes sur les photos. Entre mai et décembre 2020, la Cnil était saisie de plusieurs réclamations d’internautes concernés. Ceux-ci déploraient la difficulté à se faire entendre de l’entreprise américaine.
Sans consentement
En octobre 2020, le gendarme français des données personnelles procède à une mission de contrôle sur pièces par l’envoi d’un questionnaire. La société lui répond un mois plus tard. Puis, en mai 2021, c’est au tour de l’association Privacy International de saisir la Cnil d’une plainte contre Clearview AI.
Dans ses contrôles, le régulateur remarque moult infractions au RGPD, à commencer par l’absence de base légale à la collecte et au traitement d’informations biométriques. En effet, la société collecte des données sans recueillir le moindre consentement, et sans avoir d’intérêt légitime à utiliser ces informations, « notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur Internet des millions d’internautes en France ».
En outre, Clearview AI fait la sourde oreille aux demandes des internautes. Ou du moins ne facilite pas l’exercice de leurs droit, énoncés aux articles 12, 15 et 17 du RGPD, d’accès, de rectification et de suppression, en « limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande, en restreignant l’exercice de ce droit à deux fois par an, sans justification et en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne ».
Une société silencieuse
Mise en demeure le 26 novembre 2021, de manière publique, l’entreprise n’a pas répondu à la Cnil dans les deux mois. L’autorité souligne d’ailleurs que « tout au long de la procédure, CLEARVIEW AI a manqué à son obligation de coopérer avec les services de la CNIL ». Manque de bol, le régulateur français n’était pas le seul sur l’affaire. Les autorités italiennes et grecques ont ainsi condamné Clearview AI, respectivement en mars et en juillet 2022, à 20 millions d’euros d’amende chacune.
Cadre européen aidant, les régulateurs nationaux ont échangé sur ce cas. Le couperet vient de tomber en France : la Cnil annonce infliger à Clearview AI « une sanction pécuniaire maximale en application de l’article 83 du RGPD » de 20 millions d’euros. La douloureuse est assortie d’une injonction de supprimer les données des Français déjà collectées, et de cesser toute nouvelle collecte sans base légale. La société a deux mois pour s’exécuter, sous peine d’une astreinte de 100 000 euros par jour de retard au-delà.