Clearview AI se voit infliger une amende de 30,5 millions d'euros, sa plus importante jamais imposée par le RGPD par l'autorité néerlandaise de protection des données (DPA). Le régulateur néerlandais envisage également de tenir les dirigeants personnellement responsables, en raison de la collecte illégale de données à des fins de reconnaissance faciale. Clearview AI est une entreprise américaine spécialisée dans la reconnaissance faciale. Elle fournit un logiciel basé sur une technologie qu'elle développe, permettant de rechercher un visage dans une base de données de plus de trois milliards d'images, obtenues via web scraping sur Internet et notamment sur les réseaux sociaux. L'entreprise a fait l'objet de diverses enquêtes depuis 2020, notamment autour de la menace qu'elle fait peser sur la vie privée, suscitant plusieurs controverses.
En France, une injonction a ordonné à Clearview AI de supprimer ses données dans un délai de deux mois. L'organisme français de protection de la vie privée, CNIL, (Commission nationale de l'informatique et des libertés) a déclaré que Clearview avait enfreint le règlement général européen sur la protection des données (RGPD). Les plaintes allèguent que la méthode de documentation et de collecte de données de la société, y compris les images de visages qu'elle extrait automatiquement des sites Web publics viole les lois européennes sur la protection de la vie privée.
En Italie également, l'agence italienne de protection des données a annoncé une amende de 20 millions d'euros pour violation du droit de l'UE. Elle a également ordonné à l'entreprise controversée de supprimer toutes les données sur les Italiens qu'elle détient et elle interdit tout traitement ultérieur de la biométrie faciale de ses citoyens. Son enquête a été ouverte à la suite de "plaintes et rapports", a-t-elle déclaré, notant qu'en plus des violations de la loi sur la confidentialité, elle a découvert que l'entreprise suivait des citoyens italiens et des personnes situées en Italie.
Récemment, Clearview AI se voit infliger une amende de 30,5 millions d'euros, la plus importante jamais imposée par le RGPD. Le régulateur néerlandais envisage de tenir les dirigeants personnellement responsables, en raison de la collecte illégale de données à des fins de reconnaissance faciale.
Clearview AI, la start-up américaine controversée spécialisée dans la reconnaissance faciale qui a créé une base de données consultable de 30 milliards d'images en recherchant sur Internet des selfies de personnes sans leur consentement, s'est vu infliger sa plus lourde amende en matière de protection de la vie privée en Europe.
L'autorité néerlandaise de protection des données a déclaré qu'elle avait imposé une amende de 30,5 millions d'euros à Clearview AI pour une série d'infractions au règlement général sur la protection des données (RGPD) de l'Union européenne, après avoir confirmé que la base de données contenait des images de citoyens néerlandais.
Cette amende est plus importante que les sanctions distinctes imposées par les autorités de protection des données en France, en Italie, en Grèce et au Royaume-Uni en 2022.
Dans un communiqué de presse, l'AP a indiqué qu'elle avait ordonné une amende supplémentaire pouvant atteindre 5,1 millions d'euros en cas de non-conformité persistante, précisant que Clearview n'avait pas mis fin aux violations du RGPD après la conclusion de l'enquête, raison pour laquelle elle a ordonné cette amende supplémentaire. L'amende totale pourrait atteindre 35,6 millions d'euros si Clearview AI continue d'ignorer le régulateur néerlandais.
L'autorité néerlandaise de protection des données a commencé à enquêter sur Clearview AI en mars 2023 après avoir reçu des plaintes de trois personnes concernant le non-respect par l'entreprise des demandes d'accès aux données. Le RGPD confère aux résidents de l'UE un ensemble de droits relatifs à leurs données personnelles, dont le droit de demander une copie de leurs données ou de les faire effacer. Clearview AI n'a pas donné suite à ces demandes.
Voici le communiqué de la DPA :
La DPA inflige une amende à Clearview pour collecte illégale de données à des fins de reconnaissance faciale
L'autorité néerlandaise de protection des données (Dutch DPA) impose à Clearview AI une amende de 30,5 millions d'euros et l'assortit d'une sanction pour non-conformité pouvant aller jusqu'à plus de 5 millions d'euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment constitué une base de données illégale contenant des milliards de photos de visages, y compris de Néerlandais. La DPA néerlandaise prévient qu'il est également interdit d'utiliser les services de Clearview.
Clearview est une entreprise commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d'enquête. Les clients de Clearview peuvent fournir des images de caméras afin de découvrir l'identité des personnes figurant sur les images. À cette fin, Clearview dispose d'une base de données contenant plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l'internet. Elles sont ensuite converties en un code biométrique unique par visage. Sans que ces personnes le sachent et sans qu'elles aient donné leur accord.
Plus jamais d'anonymat
"La reconnaissance faciale est une technologie très intrusive, que l'on ne peut pas simplement lâcher sur n'importe qui dans le monde", déclare Aleid Wolfsen, président de la DPA néerlandaise. "Si une photo de vous se trouve sur l'internet - et n'est-ce pas le cas de chacun d'entre nous ? - vous pouvez vous retrouver dans la base de données de Clearview et être suivi à la trace. Il ne s'agit pas d'un scénario catastrophe tiré d'un film d'horreur. Il ne s'agit pas non plus de quelque chose qui ne pourrait se faire qu'en Chine".
"Clearview affirme qu'elle ne fournit des services qu'aux services de renseignement et d'enquête situés en dehors de l'Union européenne (UE). C'est déjà assez grave comme ça", déclare M. Wolfsen. "Cela ne devrait pas aller plus loin. Nous devons mettre un terme à l'utilisation incorrecte de ce type de technologie".
M. Wolfsen reconnaît l'importance de la sécurité et de la détection des criminels par les autorités officielles. Il reconnaît également que des techniques telles que la reconnaissance faciale peuvent y contribuer. "Mais certainement pas par une entreprise commerciale. Et les autorités compétentes ne peuvent le faire que dans des cas très exceptionnels. La police, par exemple, doit gérer elle-même le logiciel et la base de données dans ce cas, sous réserve de conditions strictes et sous l'œil vigilant de la DPA néerlandaise et d'autres autorités de contrôle."
Les services de Clearview sont illégaux
Wolfsen lance un avertissement : n'utilisez pas Clearview. Clearview enfreint la loi, ce qui rend l'utilisation de ses services illégale. Les organisations néerlandaises qui utilisent Clearview peuvent donc s'attendre à de lourdes amendes de la part de l'autorité néerlandaise de protection des données.
Violations commises par Clearview
Clearview a gravement enfreint le règlement général sur la protection des données (RGPD) sur plusieurs points : l'entreprise n'aurait jamais dû créer la base de données et n'est pas suffisamment transparente.
- Base de données illégale : Clearview n'aurait jamais dû constituer la base de données contenant les photos, les codes biométriques uniques et les autres informations qui y sont liées. Cela vaut en particulier pour les codes. Comme les empreintes digitales, il s'agit de données biométriques. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s'en prévaloir.
- Manque de transparence : Clearview n'informe pas suffisamment les personnes figurant dans la base de données du fait que l'entreprise utilise leur photo et leurs données biométriques. Les personnes figurant dans la base de données ont également le droit d'accéder à leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données que l'entreprise possède à leur sujet. Mais Clearview ne coopère pas aux demandes d'accès.
Des sanctions progressives
Clearview n'a pas mis fin aux violations après l'enquête de l'autorité néerlandaise de protection des données. C'est pourquoi l'autorité néerlandaise de protection des données a ordonné à Clearview de mettre fin à ces violations. Si Clearview ne le fait pas, l'entreprise devra payer des pénalités pour non-conformité d'un montant total maximum de 5,1 millions d'euros en plus de l'amende.
Entreprise américaine
Clearview est une société américaine sans établissement en Europe. D'autres autorités de protection des données ont déjà infligé des amendes à Clearview à plusieurs reprises, mais l'entreprise ne semble pas vouloir modifier son comportement. C'est pourquoi l'autorité néerlandaise de protection des données cherche à s'assurer que Clearview mette fin à ses infractions. Elle cherche notamment à savoir si les administrateurs de l'entreprise peuvent être tenus personnellement responsables des violations.
M. Wolfsen commente : "Une telle entreprise ne peut pas continuer à violer les droits des Européens en toute impunité. Certainement pas d'une manière aussi grave et à une échelle aussi massive. Nous allons maintenant examiner si nous pouvons tenir la direction de l'entreprise personnellement responsable et lui infliger une amende pour avoir dirigé ces violations. Cette responsabilité existe déjà si les directeurs savent que le RGPD est violé, ont le pouvoir d'y mettre fin, mais omettent de le faire, et acceptent ainsi consciemment ces violations".
Clearview n'a pas contesté cette décision et ne peut donc pas faire appel de l'amende.
Source : L'autorité néerlandaise de protection des données (Dutch DPA)
Et vous ?
Pensez-vous que ces sanctions sont crédibles ou pertinentes ? Quel est votre avis sur le sujet ?Voir aussi :
Clearview AI condamné à payer une amende de 7,5 Ms £ en UK pour avoir alimenté son IA de reconnaissance faciale avec des photos collectées sans autorisation Clearview AI a reçu l'ordre de supprimer toutes les données de reconnaissance faciale appartenant à des Australiens, l'entreprise aurait violé la loi australienne sur la protection de la vie privée La CNIL condamne Clearview AI à verser une amende de 20 Ms €, accusant le spécialiste de la reconnaissance faciale d'avoir violé le RGPD, en collectant des données biométriques sans consentement 
