La CNIL vient de prononcer une sanction de 20 millions d'euros à l'encontre de la société de reconnaissance biométrique faciale américaine Clearview AI (voir nos précédents articles), et l'enjoint à « cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées ».
Cette sanction fait suite à une précédente mise en demeure, à laquelle Clearview n'a pas répondu. À l'époque, fin 2021, la CNIL reprochait à la société américaine d'avoir aspiré « plus de 10 milliards d’images à travers le monde » sans le consentement des intéressés et « sans base légale », et donc en violation du RGPD.
Crédits : CNIL
La CNIL estime désormais que la base de données totaliserait « plus de 20 milliards d'images ». Sur son site web, Clearview AI se targue de son côté d'en totaliser « plus de 30 milliards ».
Crédits : Clearview
Troisième sanction maximale de 20 millions d'euros en 7 mois
Dans sa délibération, la CNIL précise en effet que l'entreprise « collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web », des réseaux sociaux aux sites professionnels présentant leurs salariés, mais également en extrayant les visages des vidéos disponibles en ligne :
« Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites " pour adultes " ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte. »
Or, « l’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif ».
Et ce, alors que Clearview a constitué sa base de données afin de proposer un moteur de recherche biométrique à ses clients, notamment des forces de l'ordre d'identifier auteurs et victimes d'infractions.
La CNIL rappelle avoir coopéré avec ses homologues européens. En l'espèce, Clearview avait déjà été condamné à deux amendes de 20 millions d'euros en Italie, en mars dernier, ainsi qu'en Grèce en juillet, et de 7,5 millions de livres en Grande-Bretagne en mai.
Une société valorisée à hauteur de 130 millions d’euros
Dans sa délibération, la formation restreinte de la CNIL souligne que, non content de n’avoir « présenté aucune observation en défense », Clearview n'a pas non plus « répondu de manière satisfaisante aux demandes de la CNIL dans les délais impartis », avant de ne répondre « que de manière très partielle » au questionnaire de contrôle qui lui avait été adressé.
Elle n'a pas non plus répondu à la mise en demeure datée du 26 novembre 2021, pas plus qu'à la lettre de relance adressée par la présidente de la CNIL le 3 mars 2022, ni à la relance adressée par les services de la Commission le 4 avril 2022.
Et ce, alors qu'elle disposait d'un délai de deux mois pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Ce pourquoi elle écope de la sanction pécuniaire maximale en application de l’article 83 du RGPD, soit 20 millions d’euros.
Cet article prévoit certes que le montant de l'amende puisse aller jusqu'à 4 % du chiffre d'affaires annuel de la société sanctionnée mais, précise la CNIL, « il ressort cependant de sources journalistiques que la société était valorisée à hauteur de 130 millions d’euros au début de l’année 2021 » d'une part, d'autre part que le RGPD précise que c'est le montant le plus élevé qui doit être retenu.
En outre, et « au regard de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées », la formation restreinte « estime nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec ses obligations », d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de deux mois.
La formation restreinte précise que « cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification ».
