La Commission nationale de l'informatique et des libertés (Cnil) a mis en demeure Clearview AI de cesser son traitement illicite de données personnelles. La société développe en effet un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet.
Logiciel de reconnaissance faciale : la Cnil intervient
Après avoir reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI en mai 2020, la Cnil avait ouvert une enquête sur les pratiques de la société américaine. Ayant notamment collaboré avec ses homologues européens, l’autorité a ainsi deux manquements au Règlement général sur la protection des données (RGPD) : un traitement illicite de données personnelles et une absence de prise en compte "satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données".
Spécialisée dans la reconnaissance faciale, Clearview AI propose un moteur de recherche dans lequel une personne peut être recherchée à l’aide d’une photographie. Le service est notamment offert à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction. Afin de constituer la base de données sur laquelle repose le logiciel qu’elle commercialise, la société aspire des photographies directement accessibles (pouvant être consultées sans connexion à un compte) en provenance de très nombreux sites web, y compris des réseaux sociaux et de plateformes de vidéos en ligne. Selon la Cnil, Clearview AI se serait ainsi approprié plus de 10 milliards d’images à travers le monde, alors que "l’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignorent être concernées par ce dispositif".
Deux manquements au RGPD
Le régulateur français a donc tout d’abord relevé un traitement illicite de données personnelles effectué par l’entreprise américaine. Pour être licite, un tel traitement doit en effet reposer sur l’une des bases légales prévues à l’article 6 du RGPD. Or Clearview AI ne recueille pas le consentement des personnes concernées par le traitement et ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données. Pour la Cnil, ce procédé présente un caractère "particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur internet de plusieurs dizaines de millions d’internautes en France". Elle a donc enjoint la société de cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise sous un délai de deux mois.
Elle constate d’autre part que les droits des personnes concernées par le traitement n’ont pas été respectés. Clearview AI ne facilite pas l’exercice de leur droit d’accès "en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande, en restreignant l’exercice de ce droit à deux fois par an, sans justification [et] en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne". De plus, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées en ne fournissant que des réponses partielles ou ne répond pas du tout à ces doléances. La Cnil l’a donc également mise en demeure de faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées, toujours dans un délai de deux mois.
