La CNIL vient de prononcer une sanction de 20 millions d'euros à l'encontre de la société de reconnaissance biométrique faciale américaine Clearview AI (voir nos précédents articles), et l'enjoint à « cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées ».
Cette sanction fait suite à une précédente mise en demeure, à laquelle Clearview n'a pas répondu. À l'époque, fin 2021, la CNIL reprochait à la société américaine d'avoir aspiré « plus de 10 milliards d’images à travers le monde » sans le consentement des intéressés et « sans base légale », et donc en violation du RGPD.
Crédits : CNIL
La CNIL estime désormais que la base de données totaliserait « plus de 20 milliards d'images ». Sur son site web, Clearview AI se targue de son côté d'en totaliser « plus de 30 milliards ».
Crédits : Clearview
Troisième sanction maximale de 20 millions d'euros en 7 mois
Dans sa délibération, la CNIL précise en effet que l'entreprise « collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web », des réseaux sociaux aux sites professionnels présentant leurs salariés, mais également en extrayant les visages des vidéos disponibles en ligne :
« Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites " pour adultes " ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte. »
Or, « l’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif ».
Et ce, alors que Clearview a constitué sa base de données afin de proposer un moteur de recherche biométrique à ses clients, notamment des forces de l'ordre d'identifier auteurs et victimes d'infractions.
La CNIL rappelle avoir coopéré avec ses homologues européens. En l'espèce, Clearview avait déjà été condamné à deux amendes de 20 millions d'euros en Italie, en mars dernier, ainsi qu'en Grèce en juillet, et de 7,5 millions de livres en Grande-Bretagne en mai.
Une société valorisée à hauteur de 130 millions d’euros
Dans sa délibération, la formation restreinte de la CNIL souligne que, non content de n’avoir « présenté aucune observation en défense », Clearview n'a pas non plus « répondu de manière satisfaisante aux demandes de la CNIL dans les délais impartis », avant de ne répondre « que de manière très partielle » au questionnaire de contrôle qui lui avait été adressé.
Elle n'a pas non plus répondu à la mise en demeure datée du 26 novembre 2021, pas plus qu'à la lettre de relance adressée par la présidente de la CNIL le 3 mars 2022, ni à la relance adressée par les services de la Commission le 4 avril 2022.
Et ce, alors qu'elle disposait d'un délai de deux mois pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Ce pourquoi elle écope de la sanction pécuniaire maximale en application de l’article 83 du RGPD, soit 20 millions d’euros.
Cet article prévoit certes que le montant de l'amende puisse aller jusqu'à 4 % du chiffre d'affaires annuel de la société sanctionnée mais, précise la CNIL, « il ressort cependant de sources journalistiques que la société était valorisée à hauteur de 130 millions d’euros au début de l’année 2021 » d'une part, d'autre part que le RGPD précise que c'est le montant le plus élevé qui doit être retenu.
En outre, et « au regard de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées », la formation restreinte « estime nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec ses obligations », d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de deux mois.
La formation restreinte précise que « cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification ».
Commentaires (25)
#1
Les autorités européennes ont des moyens pour s’assurer de l’application de ces sanctions ? L’entreprise est US et ne fait pas d’affaires en UE non ?
#1.1
Je me posais la même question. C’est un cas intéressant pour savoir quels sont les moyens à disposition dans ce genre de cas. Un approfondissement des moyens à disposition pour faire pression pour payer viendrait bien enrichir l’article :)
Sinon, l’amende reste une amende administrative. Je ne sais pas s’il y a des accords entre les UE et EU à ce sujet…
#2
Oui, c’est l’éléphant dans la pièce: de quels moyens dispose-t-on pour que cette amende soit réellement payée ?
#3
Dans l’autre sens USA s/firme Eur, nous avons vu et voyons encore qu’il y a des accords féroces, non ?
#4
Exact ! avec Lafarge et ce n’est pas le même montant https://www.france24.com/fr/info-en-continu/20221018-lafarge-lourdement-sanctionn%C3%A9-aux-etats-unis-pour-avoir-soutenu-l-etat-islamique
#4.1
C’est assez différent : Lafarge a plaidé coupable aux USA, Clearview AI n’a rien reconnu et a très peu coopéré avec la CNIL a priori.
#5
C’est un peu comme les demandes d’identification sur les réseaux sociaux faites en UE qui n’aboutissent pas, les plaignants doivent faire valoir leur droit devant un tribunal américain.
Il est fort probable que la CNIL doit faire un procès devant le tribunal US du siège social de ClearView AI si elle souhaite y faire appliquer l’amende.
Ca finira à l’amiable sur terrain US, la boite va payer 500K$.
ClearView ne fait pas de business en France, par contre elle en fait dans d’autres pays de l’UE, donc un recours par les voies légales UE pourrait éventuellement faire bouger les choses.
#6
Et ouais, en 2022, malheureusement, on a plus de vie privée, ou plutôt, un web privé. C’est triste😭😭😭
#7
Les USA on une justice, l’ E.U. a juste un paquet de crabes qui fond des nœuds …
Ce qu’il faut à ce stade, c’est des mandats d’arrêts interpol.
Si on le traitait pour ce qu’ils sont, des criminels multirécidivistes, on pourrait les mettre au gnouf au lieu d’attendre bêtement qu’ils ouvrent le chéquier.
#7.1
Je suis d’accord avec vous. Je pense (naïvement ?) qu’il y a des responsabilités pénales qui existent pour ce genre d’abus : qu’on les utilise pour poursuivre les dirigeants de Clearview ! Mandats d’arrêt internationaux, saisies d’avoir en cas de fuite, etc.
#7.2
Ce ne sont pas des trafiquants de drogue ou de la criminalité en bande organisée non plus … On n’est même pas dans du pénal ni une activité en France.
#8
Vu que cette entreprise a des clients dans 27 pays et qu’elle en a démarché pas mal dans l’UE, son formulaire client de demande de démonstration autorise tous les pays… donc à partir du moment où elle fait du business en Europe, c’est déjà plus simple de lui coller des amendes.
https://fr.wikipedia.org/wiki/Clearview_AI#Clients
#9
Si au lieu d’attendre toujours plus de sanctions dont l’application semble être utopique, ne serait-il pas plus efficace d’éviter de leur donner ce qu’ils utilisent (c’est à dire nos photos) ?
Le mécanisme est vicieux certes, mais connu ! Et il faut arrêter de croire que des boites qui brassent des millions proposent des outils gratuits proposés sans arrière pensée / savoir comment gagner de l’argent ! C’est comme la cigarette, l’amiante, la pollution, notre modèle de consommation… On ne peut plus dire : euh, on ne savait pas…
Il est peut-être temps de réfléchir à nos comportements et agir directement à la source au lieu de chercher des (fausses) parades. Je croyais que depuis Mai 2020, on vivait dans le monde d’après…
“La route est longue mais la voie est libre” date de 2007…
#9.1
Mais bien sûr ! Comme la femme qui se fait violer n’aurait pas dû porter une jupe ! Leur collecte de données personnelles est illégale dans l’UE. Qu’ils arrêtent de faire du business dans l’illégalité et c’est tout.
#9.4
Ah, c’est pour le troll du vendredi ? Non merci. On arrive au point Godwin en 3 commentaires…
Que leur manière de faire soit illégale, j’en conviens et le déplore. D’ailleurs, l’activité me paraît très douteuse d’un point de vue morale. Mais au lieu de toujours se plaindre, pourquoi sauter à pied joints dans la première (mauvaise) solution sans se poser de questions ? L’adage tourner 7 fois la langue dans sa bouche devrait être adapter au Clic / choix des applications…
C’est sûr, ce n’est pas simple. Et plus on y va, plus ce sera dur ! Par contre, ce genre de news est excellente pour faire réfléchir les gens.
#9.2
Est-ce qu’une grande partie des données de Clearview n’est pas issue du scraping ? Ils ont probablement des accords avec les réseaux sociaux pour leur faciliter la tache, mais je ne suis pas certain que ça leur soit nécessaire.
“euh, on ne savais pas…” en fait si, la plupart des gens n’ont pas idée de ce que l’on peut faire avec leurs données. Et particulièrement les parents qui laissent leurs gosses en roue libre sur internet.
Oui, ils peuvent se renseigner, mais les solutions ne sont pas toujours simples et ne pas avoir whatsapp, insta, facebook et consorts est parfois problématique socialement : c’est le 1er mode de communication des jeunes et c’est parfois le seul des vieux avec leur descendance.
J’ai essayé de mettre du monde sur Wire, personne ne m’a suivi. Je suis content tout seul :) Donc j’ai 1⁄5 de mes contacts sur Signal et tout le reste sur whatsapp.
#9.3
Ils n’ont même pas d’accord avec les réseaux sociaux : D’après Wikipédia ils se sont pris des “cease and desist” de Twitter, Facebook, Google…
#10
De l’ingérence une fois de plus !
On veut encore faire appliquer la loi française à l’étranger.
Que dirait-on si l’on faisait l’inverse : appliquer la loi américaine en France ?
#10.1
Trop gros la tentative de lançage de troll du vendredi :)
#11
Hein ?
Non. On veut faire appliquer un règlement européen dans l’Union Européenne.
Comme s’ils s’en privaient.
#12
Il y a en a certains qui comprennent vite, mais à qui il faut expliquer longtemps.
Par exemple la France à qui la CJUE explique de manière constante depuis 2004 que la collecte généralisée & indifférenciée de données est contraires aux droits fondamentaux.
3 amendes de 20 millions en peu de temps représentant la moitié de la valorisation (supposée)… mails il reste 70 millions de valorisation, et aucune information sur les revenus qui permettraient d’éponger cela après une revente supposée.
À supposer que les amendes soient payées, évidemment, et là, rien n’est moins sûr.
Z’en faites pas trop pour eux, je dirais.
Il y en a même pour qui les condamnations sont des trophées.
#13
Leur défense depuis l’article est… Particulière : Ils avancent qu’ils ne sont pas concernés par le RGPD ni la CNIL car ils ne font pas affaire en France et qu’il n’est pas possible de déterminer via une photo qu’un individu est français (sans doute pour se libérer de l’injonction de suppression).
https://www.biometricupdate.com/202210/clearview-denies-jurisdiction-of-french-regulator-in-response-to-e20m-fine
Ils n’ont pas compris (ou font semblant) comment fonctionne le RGPD : c’est à eux de s’assurer lorsqu’ils pompent des données sur le web de recueillir un consentement préalable si elles appartiennent à un résident de l’UE.
J’ai l’impression qu’implicitement ils mettent la CNIL au défit de prouver qu’ils ont bien siphonné des photos de Français.
#13.1
Merci pour ce lien.
Ce sont des bouffons !
Ils vendent un moyen d’identifier facilement les gens à partir de leurs photos. Alors, oui, ils n’ont probablement pas l’identité de la personne (probablement un lien vers la page où ils ont pris la photo ce qui permet directement ou indirectement de l’identifier, voir un exemple ici), mais le RGPD s’en moque : si la photo est celle de quelqu’un qui est dans l’UE, le RGPD s’applique puisque la photo est une donnée personnelle, identifiante qui plus est puisque que leur marketing se fait là-dessus.
De plus, pour beaucoup de sites, ils doivent avoir l’information indiquant où habite la personne et donc savoir si le RGPD s’applique ou non.
Et ils ont des dispositifs permettant d’appliquer les lois de protection de données d’un certain nombres d’états des USA, en particulier la Californie qui est ce qui se rapproche le plus de l’UE et de son RGPD.
Donc, oui, ils se pensent intouchables puisqu’aux USA, état de New York. Il faudrait que l’on puisse judiciariser leurs actes afin de pouvoir lancer des mandats d’arrêt internationaux, ils feraient moins les malins.
#14
Les entreprises US font ce qu’ils veulent en Europe , par contre les entreprises Françaises sont maltraités au Etats Unis et payent des amendes sur tout et n’importe quoi
#15