19 Jan La CNIL sanctionne lourdement CLEARVIEW AI pour manquements au RGPD : avenir incertain du logiciel de reconnaissance faciale

Le 17 octobre 2022, à la suite d’une plainte de l’association Privacy International, la CNIL a infligé une amende de 20 millions d’euros à la société américaine Clearview AI, spécialisée dans le domaine de la reconnaissance faciale, pour plusieurs manquements au Règlement Général sur la Protection des Données (« RGPD »). Elle l’a également enjointe, sous astreinte de 100 000 euros par jour de retard, de cesser tout traitement sur des sujets français et de supprimer l’ensemble des données déjà collectées, dans un délai de deux mois.

Cette sanction s’inscrit dans un vaste mouvement de procédures visant cette entreprise américaine qui semble aller d’obstacles en déconvenues.

Un traitement massif de données servant un logiciel de reconnaissance faciale

Clearview AI est une société américaine fondée en 2017 et qui a développé un logiciel de reconnaissance faciale présenté comme n° 1 du marché avec une fiabilité de plus de 99 % et fonctionnant à partir d’une base de données rassemblant aujourd’hui plus de 20 milliards d’images. La société collecte des images accessibles sur Internet (sites professionnels, YouTube, blogs, réseaux sociaux), où apparaissent les visages des personnes.

Un logiciel analyse les visages en s’attachant à leurs spécificités (distance entre les yeux, entre le front et le menton, forme des pommettes, des lèvres, des oreilles, du menton, du nez). Les informations analogues sont ensuite converties en informations numériques et offrent une empreinte faciale unique à chaque individu. Clearview AI possède ainsi des millions d’empreintes faciales.

Il suffit ensuite, pour connaitre l’identité d’une personne ou pour retrouver une personne connue, de soumettre son image à la base de données qui trace des correspondances avec des empreintes faciales collectées. Les images de la personne précédemment collectées sont présentées à l’utilisateur qui est ensuite dirigé vers les sites et réseaux d’où elles sont issues.

Sur son site internet, Clearview AI, indique fournir son logiciel aux autorités et souligne son étroite collaboration avec les forces de l’ordre pour retrouver des personnes disparues ou lutter contre le trafic d’enfants. Cependant, des documents internes révélés le 27 février 2020 par BuzzFeed News établissent une liste des clients de Clearview AI parmi lesquels figurent de nombreuses entreprises privées.

Clearview AI : cible de plusieurs autorités de protection européennes

Clearview AI a débuté ses activités aux Etats-Unis à New-York en 2017 où elle est établie, mais les a rapidement étendues à l’international, et notamment en Europe, afin d’augmenter sa collecte de données et ainsi alimenter son logiciel de reconnaissance faciale. Elle s’est alors heurtée au droit protecteur du RGPD et a dû faire face à de multiples procédures des diverses autorités de protection des données (APD) :

• 26 novembre 2021 – La Commission Nationale Informatique et Libertés (« CNIL ») l’a d’abord mise en demeure de mettre fin, sous 2 mois, aux manquements constatés au RGPD et de supprimer les données collectées.
• 10 février 2022 – L’APD italienne lui a également infligé une amende de 20 millions d’euros pour divers manquements au RGPD.
• 13 juillet 2022 – L’APD grecque la sanctionne elle aussi à hauteur de 20 millions d’euros pour ses manquements au RGPD.

La décision de la CNIL

La CNIL a reçu :

• Entre mai et décembre 2020, plusieurs réclamations de personnes concernées qui ne parvenaient pas à faire valoir leurs droits d’accès et d’effacement.
• Le 27 mai 2021 une plainte de l’organisme Privacy International.

Par une décision du 26 novembre 2021, constatant de nombreux manquement au RGPD, Clearview AI a ainsi été mise en demeure par la CNIL de :

• Cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
• Faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées.

Clearview AI, qui disposait d’un délai de deux mois pour répondre aux injonctions de la CNIL, n’y a pas donné suite.

La formation restreinte de la CNIL, a donc décidé de prononcer une sanction pécuniaire de 20 millions d’euros en application de l’article 83 du RGPD.

Etudions plus en détails les fondements de la décision de l’autorité de protection française.

Sur l’applicabilité du RGPD au traitement de Clearview AI

Constatant que Clearview AI ne possède aucun établissement dans l’Union, la CNIL se fonde sur l’article 3.2 du RGPD qui dispose que : « le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : […] b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ».

Elle souligne que les données en cause sont des données à caractère personnel car elles se rapportent à l’image d’une personne qui constitue un « élément spécifique propre à son identité physique » (article 4.1 du RGPD). Ces données collectées sur Internet sont en partie relatives à des personnes se trouvant sur le territoire de l’Union, et plus particulièrement en France, ce qui est reconnu par Clearview AI.

Elle considère que le traitement de ces données est lié au suivi du comportement des personnes concernées dès lors que le logiciel génère des profils de personnes avec leurs photographies et les adresses URL des pages web dont sont extraites les photographies en cause, ce qui est susceptible de délivrer des informations précises sur les personnes et leur comportement.

Ce raisonnement a été adopté par les autorités italienne et grecque.

Sur la compétence de la CNIL

La CNIL, suivant une lecture combinée des articles 55.1 reconnaissant la compétence des autorités de contrôle pour les traitements ayant lieu sur leur territoire national et 56.1 sur le mécanisme du guichet unique, considère que Clearview AI n’ayant pas d’établissement dans l’Union, le mécanisme du guichet unique ne s’applique pas. Dès lors, elle est compétente pour statuer sur le traitement ayant lieu en France.

Le même raisonnement a été adopté par les autres autorités européennes et explique les différentes procédures à l’encontre de Clearview AI.

Sur le manquement à la licéité du traitement

L’article 6 du RGPD dispose que tout traitement doit reposer sur l’une des six bases juridiques limitativement énumérées.

Lors de ses investigations, la CNIL a vainement questionné Clearview AI au sujet de la base juridique de son traitement.

La CNIL considère que le traitement ne peut se trouver fondé sur l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou l’exécution d’une mission d’intérêt public. Elle note aussi que Clearview AI n’a pas sollicité le consentement des personnes concernées.

La CNIL se penche donc sur l’intérêt légitime du responsable de traitement. Bien que les données soient publiquement accessibles sur Internet, elles restent des données à caractère personnel dont le traitement nécessite une base juridique. Cependant, face à de telles données, l’intérêt légitime du responsable de traitement pourrait être facilité si les personnes concernées en publiant leurs données pouvaient avoir une attente raisonnable de ce traitement ultérieur. L’intérêt légitime du responsable de traitement nécessite en effet d’être mis en balance avec les intérêts ou les libertés et droits fondamentaux des personnes concernées.

La CNIL considère que le traitement est massif et particulièrement intrusif puisqu’il porte sur des données susceptibles de révéler un large pan de la vie privée des personnes. Elle note aussi que même si les données en cause ont été rendues publiques sur Internet, les personnes concernées ne pouvaient pas raisonnablement envisager leur réutilisation par un logiciel de reconnaissance faciale dans un but commercial, d’autant que la majorité des personnes concernées ignorent l’existence de Clearview AI.

La CNIL en conclut que le traitement porte une atteinte disproportionnée à la vie privée des personnes concernées par rapport à l’intérêt commercial légitime de Clearview AI. Le traitement ne dispose donc d’aucune base légale.

L’APD italienne a procédé aux mêmes conclusions que la CNIL mais a poursuivit en constatant des manquements aux principes de transparence – car la société n’a donné aucune information aux personnes concernées – de limitation des finalités du traitement et de limitation de la conservation du traitement – car le stockage des données apparait comme illimité, sauf demande d’effacement des personnes concernées.

L’APD grecque a également conclut à l’illicéité du traitement et à une violation du principe de transparence.

Sur le manquement au droit d’accès

La CNIL examine la saisine d’une plaignante qui a exercé son droit d’accès garanti par les articles 12 et 15 du RGPD en demandant à Clearview AI l’accès aux données la concernant.

La plaignante a mandaté un tiers pour effectuer sa demande d’accès dont Clearview AI a accusé réception. Plus de quatre mois après cette demande et à la suite de multiples courriers par lesquels la société invitait la plaignante à utiliser une plateforme en ligne et à fournir une photographie et une pièce d’identité, Clearview AI a communiqué une réponse partielle en n’indiquant qu’un lien vers sa politique de confidentialité.

Au regard de cette plainte et de la politique de confidentialité de Clearview AI qui limite l’exercice du droit d’accès à deux fois par an et aux seules données collectées les douze mois précédant la demande, sans préciser que la durée de conservation serait de douze mois, la CNIL considère que la société ne respecte pas le droit d’accès des personnes concernées.

Les APD italienne et grecque ont aussi retenu un manquement au droit d’accès.

Sur le manquement au droit d’effacement

La CNIL examine la saisine d’une plaignante qui a exercé son droit d’effacement en vertu de l’article 17 du RGPD qui prévoit une telle possibilité si « les données à caractère personnel ont fait l’objet d’un traitement illicite ». Elle n’a reçu aucune réponse. La CNIL, qui a retenu que le traitement de la société était illicite, considère qu’il s’agit d’un manquement au droit d’effacement.

Sur l’absence de coopération avec les services de la CNIL

La CNIL relève que Clearview AI, n’a répondu que de manière très partielle au questionnaire de contrôle dont elle a été rendue destinataire par la délégation de la Commission.

La CNIL constate, de plus, que Clearview AI n’a pas répondu à la mise en demeure du 26 novembre 2021, ni à la relance adressée par la présidente de la CNIL le 3 mars 2022, ni à la relance adressée par les services de la Commission le 4 avril 2022.

Dans ces conditions, la CNIL considère que Clearview AI a manqué à son devoir de coopération prévue à l’article 31 du RGPD.

Par conséquent, la CNIL a infligé une amende de 20 millions d’euros à Clearview AI et a enjoint la société, sous astreinte de 100 000 euros par jour de retard, dans un délai de deux mois de :

• Cesser son traitement qui est dépourvu de base légale et,
• Supprimer l’ensemble des données déjà collectées.

Cette sanction française et les sanctions italienne et grecque précitées illustrent la situation délicate de Clearview AI en Union Européenne. Son activité est également compromise en dehors de l’Union européenne puisqu’elle doit faire face à des sanctions australiennes et britanniques et à un encadrement strict de son activité dans certains Etats des Etats-Unis comme l’illustre son accord à ne plus commercialiser son logiciel à des entreprises privées à la suite de l’action de l’association ACLU devant l’Etat de l’Illinois (source : ACLU).