CONTACT

Défaut de base légale : Clearview condamnée à 20 millions d’euros d’amende

18 novembre 2022 | Derriennic Associés|

Le 17 octobre 2022, la CNIL a prononcé à l’encontre de la société américaine Clearview une amende administrative de 20 millions d’euros, pour défaut de base légale et non prise en compte satisfaisante des demandes d’exercice des droits des personnes concernées.

Clearview, société établie aux Etats-Unis, a développé un logiciel de reconnaissance faciale, dont la base de données repose sur l’« aspirage d’images publiquement accessibles sur internet », et qui permet d’identifier une personne à partir d’une photographie la représentant.

Entre mai et décembre 2020, la CNIL a reçu des réclamations émanant de personnes concernées par ce traitement, qui rencontraient des difficultés dans le cadre de l’exercice de leurs droits d’accès et d’effacement auprès de Clearview.

La CNIL a procédé à un contrôle sur pièces portant sur les traitements mis en œuvre par Clearview et a sollicité la communication d’informations de la part des autres autorités de contrôle concernées. Il en est ressorti que Clearview collecte des photographies sur les réseaux sociaux, à partir desquelles elle calcule un gabarit biométrique. Clearview commercialise l’accès à un moteur de recherche en ligne permettant de calculer une « empreinte numérique » à partir d’une photographie communiquée par un client, généralement les forces de l’ordre. Clearview recherche les photographies présentes dans sa base de données ayant une empreinte similaire, ce qui, In fine, permet d’identifier la personne de façon unique à partir d’une photographie la représentant.

La CNIL, après avoir relevé un certain nombre de manquements, a mis en demeure Clearview de se conformer aux dispositions des articles 6, 12, 15 et 17 du RGPD. Cette mise en demeure est restée sans réponse.

Ayant amorcé une procédure de sanction, la CNIL a relevé que les photographies collectées par Clearview sont des données personnelles, qui concernent notamment des personnes situées dans l’Union européenne. Selon la CNIL, « la mise en ligne de photographies constitue en soit un comportement de la personne concernée », le traitement a donc trait au « suivi du comportement » au sens de l’article 3 du RGPD. La CNIL a, en conséquence, estimé que le RGPD est applicable au traitement en cause.

Les manquements identifiés sont les suivants :

1. La CNIL a d’abord relevé que le traitement en cause ne repose sur aucune des bases légales du RGPD.

L’intérêt légitime ne pouvait, notamment, pas être invoqué par Clearview, au regard :

  • du caractère « intrusif particulièrement fort » présenté par le traitement, ce dernier portant sur un grand nombre de données photographiques, « auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de la vie privée » et à partir desquelles sont constitués des gabarits biométriques, dont la détention « constitue une atteinte forte à la vie privée » ;
  • du « nombre extrêmement élevé de personnes » ;
  • du fait que les personnes concernées ne pouvaient pas raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale.

2. Par ailleurs, la CNIL a relevé que les réponses apportées par Clearview à plusieurs demandes d’accès et d’effacement étaient insatisfaisantes pour les raisons suivantes :

  • une des réponses apportées par Clearview à une demande d’accès avait excédé le délai prévu par le RGPD ;
  • Clearview a exigé une pièce d’identité afin de confirmer l’identité d’un requérant, alors que ce dernier avait déjà communiqué une photographie permettant d’attester de son identité ;
  • Clearview a redirigé un requérant ayant exercé son droit d’accès afin de connaitre les caractéristiques du traitement, vers sa politique de confidentialité, ce que la CNIL a estimé insuffisant ;
  • Clearview n’a pas apporté de réponse à une demande d’effacement.

3. Enfin, la CNIL a relevé un manquement à l’obligation de coopération, Clearview n’ayant ni apporté de réponse à la mise en demeure de la CNIL, ni pas présenté d’observation en défense, dans le cadre de la procédure de sanction. Les réponses de Clearview au questionnaire de contrôle, dans le cadre du contrôle sur pièces de la CNIL, avaient également été apportées de manière « très partielle ».

Compte tenu de ce qui précède, la CNIL a condamné Clearview au paiement d’une amende administrative d’un montant de 20 millions d’euros, tenant compte des manquements évoqués ci-dessus et :

  • du fait que le traitement en cause, concernant 20 milliards d’images, présente un caractère « massif » ;
  • du caractère « particulièrement intrusif » du traitement en cause, susceptible de révéler « divers aspects » de la vie privée des personnes concernées ;
  • de la constitution d’un gabarit biométique, qui constitue une donnée « sensible » aux termes de l’article 9 du RGPD.

Cette amende a été accompagnée d’une injonction de corriger les manquements sous 2 mois, incluant l’obligation de supprimer les données personnelles des personnes concernées se trouvant sur le territoire français, assortie d’une astreinte de 100.000 € par jour de retard.

Lien vers la publication de la CNIL : ici

articles similaires

| Derriennic Associés

Traitement de données personnelles de mineurs : une amende historique pour Instagram

Le 15 septembre 2022, l’autorité de contrôle irlandaise (Data Protection Commission) a sanctionné Instagram pour avoir traité les données personnelles de mineurs en contradiction avec le RGPD.

| Derriennic Associés

INFOGREFFE sanctionné pour non-respect d’une « précaution élémentaire de sécurité »

Saisie d’une plainte d’une personne indiquant que l’organisme INFOGREFFE lui avait transmis son mot de passe par téléphone en donnant simplement son nom, la CNIL a sanctionné l’organisme pour non-respect...

| Derriennic Associés

ACCOR condamnée à 600.000 € d’amende pour plusieurs manquements

Dans une décision du 3 août 2022, la CNIL a condamné la société ACCOR au paiement d’une amende de 600.000 €, notamment pour avoir procédé à des opérations de prospection...

| Derriennic Associés

TotalEnergies condamnée à une amende de 1 million d’euros

Par une délibération SAN-2022-011 du 23 juin 2022, la CNIL a sanctionné la société TotalEnergies pour divers manquements au RGPD et notamment le non-respect : (i) des règles de prospection commerciale, (ii)...

| Derriennic Associés

Le profilage opéré par une banque doit se fonder sur le consentement de ses clients

L’autorité de contrôle de Basse-Saxe a constaté que de nombreuses banques détournaient l’utilisation de données personnelles de leurs clients, initialement traitées de manière licite, afin d’effectuer du profilage publicitaire illicite.

| Derriennic Associés

La perte d’un certificat de travail constitue une violation de données

Alertée par la préfecture de police, l’autorité de contrôle polonaise a effectué un contrôle auprès d’un employeur suspecté de ne pas avoir respecté, vis-à-vis de ses salariés, la réglementation relative...