Par Anne-Charlotte Andrieux et Romain Delangle
Alors que la future règlementation européenne sur l’intelligence artificielle, l’AI Act, se négocie à Bruxelles l’Intelligence Artificielle fait la une de l’actualité et suscite de nombreuses attentes mais également certaines craintes.
Parmi les technologies associées à l’IA, la reconnaissance faciale est régulièrement pointée du doigt en ce qu’elle implique le traitement de données biométriques. Consciente des risques associés au développement des outils intégrant de la reconnaissance faciale, la CNIL avait appelé en 2018 à un débat démocratique sur les enjeux techniques, juridiques et éthiques.
C’est dans ce contexte que l’autorité française de protection des données a récemment condamné la société CLEARVIEW AI à l’amende forfaitaire maximale de 20 millions d’euros.
La technologie de reconnaissance faciale de CLEARVIEW AI en cause
CLEARVIEW AI est une société américaine connue pour avoir constitué une banque d’images de plus de 20 milliards de photographies en ayant recours au scraping de vidéos ou d’images sur des sites web, des réseaux sociaux et des plateformes librement accessibles. Cette base de données alimente un moteur de recherche qui permet aux utilisateurs de trouver un individu sur la base d’une simple photographie.
La solution CLEARVIEW AI
La solution fait appel à une technologie de reconnaissance faciale par élaboration d’un « gabarit biométrique » de l’individu recherché grâce aux traits de son visage. Un outil bien utile pour les forces de l’ordre des différents pays, l’une des cibles commerciales privilégiées de l’éditeur américain.
Après avoir reçu plusieurs signalements de particuliers en 2020, puis une plainte de l’association Privacy International en mai 2021, la CNIL avait mis en demeure la société CLEARVIEW AI de :
-
« cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
-
faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées. »
Cette mise en demeure, restée vaine, a conduit la Commission à entrer en voie de condamnation.
CLEARVIEW AI viole le RGPD
La CNIL retient une variété de manquements au RGPD :
-
-
-
- Un traitement illicite de données personnelles
-
-
Constatant que CLEARVIEW opérait un traitement de données personnelles en dehors de toute base légale au sens de l’article 6 du RGPD, la Commission a estimé que le traitement est purement et simplement illicite.
-
-
-
- Une violation des droits des personnes
-
-
La sanction fait état de manquements aux articles 12, 15 et 17 du RGPD relatifs aux droits des personnes concernées. La CNIL souligne notamment que CLEARVIEW AI a entravé l’exercice du droit d’accès par les personnes concernées en ne répondant à certaines demandes qu’à l’issue de nombreuses relances et de manière partielle.
-
-
-
- Une absence de coopération avec la CNIL
-
-
Dernier constat, et pas des moindres, la CNIL constate l’absence de coopération de CLEARVIEW AI tout au long de la procédure.
Il s’agit pourtant d’une obligation prévue à l’article 31 du RGPD suivant lequel « Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions ».
Or, il est reproché à CLEARVIEW AI de n’avoir répondu que partiellement au questionnaire de contrôle soumis par la CNIL, et d’avoir totalement éludé la mise en demeure qui lui avait été adressée.
CLEAVIEW AI sanctionné par la CNIL pour manquement au RGPD
En l’absence de réponse, et à défaut de mise en conformité dans le délai imparti, la CNIL a condamné CLEARVIEW AI à une amende de 20 millions d’euros.
Il s’agit du plafond forfaitaire maximal prévu par le RGPD, étant toutefois précisé que les autorités de protection des données peuvent être amenées à prononcer des amendes supérieures à ce plafond, au prorata du chiffre d’affaires.
En outre, la CNIL a assorti la condamnation de CLEARVIEW AI d’une injonction de cesser le traitement des données de résidents français sans base légale, et de supprimer les données collectées dans un délai de deux mois, sous astreinte de 100.000 euros par jour de retard au-delà de ce délai.
Ce n’est toutefois pas la première fois que CLEARVIEW AI est sanctionnée par une autorité de protection des données :
- L’autorité italienne (GPDP) avait condamné la société américaine à une amende identique de 20 millions d’euros le 9 mars 2022
- L’autorité britannique (ICO) avait pour sa part prononcé une sanction de 8,85 millions d’euros le 23 mai dernier.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez ici.