Par Anne-Charlotte Andrieux et Romain Delangle
Alors que la future règlementation européenne sur l’intelligence artificielle, l’AI Act, se négocie à Bruxelles l’Intelligence Artificielle fait la une de l’actualité et suscite de nombreuses attentes mais également certaines craintes.
Parmi les technologies associées à l’IA, la reconnaissance faciale est régulièrement pointée du doigt en ce qu’elle implique le traitement de données biométriques. Consciente des risques associés au développement des outils intégrant de la reconnaissance faciale, la CNIL avait appelé en 2018 à un débat démocratique sur les enjeux techniques, juridiques et éthiques.
C’est dans ce contexte que l’autorité française de protection des données a récemment condamné la société CLEARVIEW AI à l’amende forfaitaire maximale de 20 millions d’euros.
CLEARVIEW AI est une société américaine connue pour avoir constitué une banque d’images de plus de 20 milliards de photographies en ayant recours au scraping de vidéos ou d’images sur des sites web, des réseaux sociaux et des plateformes librement accessibles. Cette base de données alimente un moteur de recherche qui permet aux utilisateurs de trouver un individu sur la base d’une simple photographie.
La solution fait appel à une technologie de reconnaissance faciale par élaboration d’un « gabarit biométrique » de l’individu recherché grâce aux traits de son visage. Un outil bien utile pour les forces de l’ordre des différents pays, l’une des cibles commerciales privilégiées de l’éditeur américain.
Après avoir reçu plusieurs signalements de particuliers en 2020, puis une plainte de l’association Privacy International en mai 2021, la CNIL avait mis en demeure la société CLEARVIEW AI de :
« cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées. »
Cette mise en demeure, restée vaine, a conduit la Commission à entrer en voie de condamnation.
La CNIL retient une variété de manquements au RGPD :
Constatant que CLEARVIEW opérait un traitement de données personnelles en dehors de toute base légale au sens de l’article 6 du RGPD, la Commission a estimé que le traitement est purement et simplement illicite.
La sanction fait état de manquements aux articles 12, 15 et 17 du RGPD relatifs aux droits des personnes concernées. La CNIL souligne notamment que CLEARVIEW AI a entravé l’exercice du droit d’accès par les personnes concernées en ne répondant à certaines demandes qu’à l’issue de nombreuses relances et de manière partielle.
Dernier constat, et pas des moindres, la CNIL constate l’absence de coopération de CLEARVIEW AI tout au long de la procédure.
Il s’agit pourtant d’une obligation prévue à l’article 31 du RGPD suivant lequel « Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions ».
Or, il est reproché à CLEARVIEW AI de n’avoir répondu que partiellement au questionnaire de contrôle soumis par la CNIL, et d’avoir totalement éludé la mise en demeure qui lui avait été adressée.
En l’absence de réponse, et à défaut de mise en conformité dans le délai imparti, la CNIL a condamné CLEARVIEW AI à une amende de 20 millions d’euros.
Il s’agit du plafond forfaitaire maximal prévu par le RGPD, étant toutefois précisé que les autorités de protection des données peuvent être amenées à prononcer des amendes supérieures à ce plafond, au prorata du chiffre d’affaires.
En outre, la CNIL a assorti la condamnation de CLEARVIEW AI d’une injonction de cesser le traitement des données de résidents français sans base légale, et de supprimer les données collectées dans un délai de deux mois, sous astreinte de 100.000 euros par jour de retard au-delà de ce délai.
Ce n’est toutefois pas la première fois que CLEARVIEW AI est sanctionnée par une autorité de protection des données :
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez ici.