Le 17 octobre 2022, la CNIL a prononcé à l’encontre de la société américaine Clearview une amende administrative de 20 millions d’euros, pour défaut de base légale et non prise en compte satisfaisante des demandes d’exercice des droits des personnes concernées.
Clearview, société établie aux Etats-Unis, a développé un logiciel de reconnaissance faciale, dont la base de données repose sur l’« aspirage d’images publiquement accessibles sur internet », et qui permet d’identifier une personne à partir d’une photographie la représentant.
Entre mai et décembre 2020, la CNIL a reçu des réclamations émanant de personnes concernées par ce traitement, qui rencontraient des difficultés dans le cadre de l’exercice de leurs droits d’accès et d’effacement auprès de Clearview.
La CNIL a procédé à un contrôle sur pièces portant sur les traitements mis en œuvre par Clearview et a sollicité la communication d’informations de la part des autres autorités de contrôle concernées. Il en est ressorti que Clearview collecte des photographies sur les réseaux sociaux, à partir desquelles elle calcule un gabarit biométrique. Clearview commercialise l’accès à un moteur de recherche en ligne permettant de calculer une « empreinte numérique » à partir d’une photographie communiquée par un client, généralement les forces de l’ordre. Clearview recherche les photographies présentes dans sa base de données ayant une empreinte similaire, ce qui, In fine, permet d’identifier la personne de façon unique à partir d’une photographie la représentant.
La CNIL, après avoir relevé un certain nombre de manquements, a mis en demeure Clearview de se conformer aux dispositions des articles 6, 12, 15 et 17 du RGPD. Cette mise en demeure est restée sans réponse.
Ayant amorcé une procédure de sanction, la CNIL a relevé que les photographies collectées par Clearview sont des données personnelles, qui concernent notamment des personnes situées dans l’Union européenne. Selon la CNIL, « la mise en ligne de photographies constitue en soit un comportement de la personne concernée », le traitement a donc trait au « suivi du comportement » au sens de l’article 3 du RGPD. La CNIL a, en conséquence, estimé que le RGPD est applicable au traitement en cause.
Les manquements identifiés sont les suivants :
1. La CNIL a d’abord relevé que le traitement en cause ne repose sur aucune des bases légales du RGPD.
L’intérêt légitime ne pouvait, notamment, pas être invoqué par Clearview, au regard :
- du caractère « intrusif particulièrement fort » présenté par le traitement, ce dernier portant sur un grand nombre de données photographiques, « auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de la vie privée » et à partir desquelles sont constitués des gabarits biométriques, dont la détention « constitue une atteinte forte à la vie privée » ;
- du « nombre extrêmement élevé de personnes » ;
- du fait que les personnes concernées ne pouvaient pas raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale.
2. Par ailleurs, la CNIL a relevé que les réponses apportées par Clearview à plusieurs demandes d’accès et d’effacement étaient insatisfaisantes pour les raisons suivantes :
- une des réponses apportées par Clearview à une demande d’accès avait excédé le délai prévu par le RGPD ;
- Clearview a exigé une pièce d’identité afin de confirmer l’identité d’un requérant, alors que ce dernier avait déjà communiqué une photographie permettant d’attester de son identité ;
- Clearview a redirigé un requérant ayant exercé son droit d’accès afin de connaitre les caractéristiques du traitement, vers sa politique de confidentialité, ce que la CNIL a estimé insuffisant ;
- Clearview n’a pas apporté de réponse à une demande d’effacement.
3. Enfin, la CNIL a relevé un manquement à l’obligation de coopération, Clearview n’ayant ni apporté de réponse à la mise en demeure de la CNIL, ni pas présenté d’observation en défense, dans le cadre de la procédure de sanction. Les réponses de Clearview au questionnaire de contrôle, dans le cadre du contrôle sur pièces de la CNIL, avaient également été apportées de manière « très partielle ».
Compte tenu de ce qui précède, la CNIL a condamné Clearview au paiement d’une amende administrative d’un montant de 20 millions d’euros, tenant compte des manquements évoqués ci-dessus et :
- du fait que le traitement en cause, concernant 20 milliards d’images, présente un caractère « massif » ;
- du caractère « particulièrement intrusif » du traitement en cause, susceptible de révéler « divers aspects » de la vie privée des personnes concernées ;
- de la constitution d’un gabarit biométique, qui constitue une donnée « sensible » aux termes de l’article 9 du RGPD.
Cette amende a été accompagnée d’une injonction de corriger les manquements sous 2 mois, incluant l’obligation de supprimer les données personnelles des personnes concernées se trouvant sur le territoire français, assortie d’une astreinte de 100.000 € par jour de retard.
Lien vers la publication de la CNIL : ici