Réf. : CNIL, 26 novembre 2021, décision n° MED-2021-134 (N° Lexbase : X1394CNX)
Lecture: 4 min
N9868BY7
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 30 Décembre 2021
► En réponse à un traitement illicite de données personnelles et à l’absence de prise en compte satisfaisante et effective des droits des personnes, la présidente de la CNIL a mis en demeure la société Clearview AI de cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale, de faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.
Le fonctionnement du service de reconnaissance faciale de la société Clearview AI. La société a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet. Cette collecte lui permet de commercialiser l'accès à son moteur de recherche où une personne peut être recherchée à l'aide d'une photographie.
Un « gabarit biométrique » est ainsi constitué sans consentement des personnes concernées. Il s'agit d'une représentation numérique des caractéristiques physiques des personnes (ici, le visage). Ces données biométriques sont particulièrement sensibles, notamment parce qu’elles sont liées à l'identité physique et qu’elles permettent d'identifier les individus de façon unique.
À noter que la société offre ce service à des forces de l’ordre afin d’identifier des auteurs ou des victimes d’infraction et qu'elle s’est appropriée plus de 10 milliards d’images à travers le monde !
Procédure. À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de la société Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.
Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société en Europe.
Un traitement illicite de données personnelles (« RGPD », art. 6). Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).
Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.
En effet, cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel.
Elle ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur internet de plusieurs dizaines de millions d’internautes en France. Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des États à des fins policières.
La gravité de ce manquement conduit la présidente de la CNIL à enjoindre à la société Clearview AI de cesser, faute de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.
Les droits des personnes non respectés (« RGPD », art. 12, 15 et 17). Les plaintes reçues par la CNIL ont révélé les difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société Clearview AI.
D’une part, la société ne facilite pas l’exercice du droit d’accès des personnes concernées :
D’autre part, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne répond pas du tout aux demandes.
La société, qui manque à ses obligations en vertu du « RGPD », est donc mise en demeure de :
La société Clearview AI dispose d’un délai de deux mois pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Si, à l’issue de ce délai, elle ne s’est pas conformée, la présidente de la CNIL aura la possibilité de saisir la formation restreinte de la CNIL qui pourra prononcer une sanction, notamment pécuniaire.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:479868
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.