Le service américain de reconnaissance faciale Clearview AI a été sanctionné jeudi par la Cnil, autorité française de protection de la vie privée, d’une amende de 20 millions d’euros, le montant maximal pour non-respect du règlement européen sur les données (RGPD).
«A la suite d’une mise en demeure restée sans réponse, la Cnil prononce une sanction de 20 millions d’euros et enjoint à la société Clearview AI de cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées», a indiqué la commission dans un communiqué. Clearview AI propose un service permettant d’identifier une personne à partir de sa photographie.
Ce logiciel est utilisé par des forces de l’ordre aux Etats-Unis et dans plusieurs pays. Pour fonctionner, l’entreprise «aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux», et extrait des visages depuis des vidéos accessibles publiquement, selon la Cnil.
«La société s’est appropriée plus de 20 milliards d’images à travers le monde» sans informer, ni recueillir le consentement des personnes concernées pour le traitement des données biométriques, poursuit le régulateur, qui considère en conséquence que le logiciel de Clearview AI est «illicite». Des particuliers et l’association Privacy International avaient alerté la Cnil sur ces pratiques depuis mai 2020, ce qui avait conduit à l’ouverture d’une enquête coordonnée des autorités européennes de protection des données, puis à une mise en demeure le 26 novembre 2021, restée donc sans réponse. Clearview AI a désormais deux mois pour se plier aux injonctions, sous peine d’une astreinte de 100.000 euros par jour de retard.Mais l’entreprise new-yorkaise ne semble pas prête à se mettre en conformité.
«Il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur internet, et il est donc impossible de supprimer les données des résidents français», a affirmé Hoan Ton-That, le patron de Clearview AI, dans un communiqué. «Clearview AI ne collecte que des informations accessibles au public sur internet, comme tout autre moteur de recherche tel que Google, Bing ou DuckDuckGo», a-t-il ajouté.
Dans un second communiqué M. Ton-That a précisé que son entreprise n’avait ni d’enseigne commerciale ni clients en France et dans l’UE et qu’elle n’entreprenait aucune activité la soumettant au RGPD. La start-up américaine a également été sanctionnée en mai au Royaume-Uni et en mars en Italie d’amendes de respectivement 8,85 millions d’euros et 20 millions d’euros. Il lui a aussi été imposé de supprimer les données personnelles des résidents de ces deux pays. Clearview AI, financée notamment par l’un des premiers investisseurs de Facebook, Peter Thiel, a accepté cette année de ne plus vendre ses bases de données biométriques à des entreprises aux Etats-Unis, comme le demandaient des associations de défense des droits civiques.