GPDP (Italie), 15 mars 2022
Dans une décision rendue le 15 mars 2022, l’autorité italienne de contrôle a condamné l’entreprise américaine Clearview AI à payer une amende de 20 millions d’euros.
L’entreprise américaine Clearview AI (« Clearview ») a créé, en 2017, un moteur de recherche par reconnaissance faciale permettant d’identifier une personne parmi les 10 milliards de photos présentes dans la base de données de l’entreprise.
Alertée par une série d’articles révélant l’existence de problèmes liés à l’utilisation de l’outil et de différentes plaintes faisant état du fait que Clearview traitait, sans leur consentement, des données personnelles de ressortissants italiens, l’autorité italienne de contrôle a ouvert une enquête.
Clearview, a, dans un premier temps, invoqué l’argument selon lequel le RGPD n’est pas applicable, puisqu’elle « ne propose pas de biens et de services aux clients européens ».
L’autorité italienne de contrôle a cependant constaté que Clearview avait, jusqu’à une certaine date, dirigé ses services vers l’Europe, et ainsi effectué la démarche tendant à « offrir des biens ou des services à une personne concernée dans l’Union », condition permettant l’application territoriale du RGPD, conformément à son article 3§2 a).
Plus encore, l’autorité de contrôle a estimé que le second critère de rattachement à la compétence territoriale du RGPD, à savoir le critère du suivi du comportement des personnes, était également présent en l’espèce. Effectivement, au cours de son analyse, l’autorité de contrôle a estimé que « l’activité exercée par Clearview ne semble pas être une simple classification des individus [mais] peut avoir pour effet de construire un profil personnel de la personne concernée », c’est-à-dire un suivi du comportement par profilage.
S’estimant compétente, et rappelant qu’un traitement de données à caractère personnel est effectué par Clearview, l’autorité de contrôle a constaté que de nombreuses violations étaient constituées, à savoir :
- une violation des principes de « licéité, de loyauté et de transparence» (article 5§1 a du RGPD), puisque « les intéressés n’ont aucun contact avec la société, ne sont pas directement informés de ses activités et ne sont destinataires d’aucune information, pas même en consultant le site internet de Clearview » ;
- une violation du principe de « limitation des finalités» (article 5§1 b du RGPD), dès lors que « le caractère public des images ne suffit pas à suggérer que les personnes concernées peuvent raisonnablement s’attendre à ce qu’elles soient utilisées à des fins de reconnaissance faciale » ;
- une violation du principe de « limitation de la conservation» (article 5§1 e du RGPD) dès lors qu’« aucune indication sur une quelconque période de conservation » n’est indiquée.
L’autorité de contrôle a ensuite considéré que Clearview (i) ne peut se prévaloir d’aucune base légale valable permettant de rendre le traitement licite, (entrainant une violation de l’article 6 du RGPD), et que (ii) l’interdiction générale de traiter des catégories particulières de données (en l’espèce des données biométriques) a été violée (article 9 du RGPD).
L’autorité de contrôle a enfin considéré que les dispositions relatives aux informations à fournir aux personnes concernées et à l’exercice des droits des personnes n’étaient pas respectées et que l’obligation de désigner un représentant sur le territoire de l’Union n’avait pas, non plus, été respectée (article 27 du RGPD).
Compte tenu de ce qui précède, l’autorité de contrôle a interdit à Clearview de mettre en œuvre le traitement et l’a enjoint (i) d’effacer les données, (ii) de désigner un représentant sur le territoire italien et (iii) de mettre toute mesure en place pour permettre l’exercice des droits des personnes.
Clearview s’est également vue infliger une amende d’un montant de 20 millions d’euros.
Lien vers la décision : ici
