La CNIL inflige 5 millions d’euros d’astreinte à Clearview, mais comment contraindre à payer ?

La CNIL a décidé de « liquider » l'astreinte à l'encontre de Clearview, alors que l'entreprise ne veut toujours pas payer l'amende de 20 millions d'euros que l'autorité lui a infligée. Se sont ajoutés 5,2 millions d'euros pour le retard entre décembre 2022 et février 2023. Maintenant, la CNIL cherche un moyen de contraindre l'entreprise à la payer.

La semaine dernière, la CNIL a annoncé avoir « décidé de liquider l’astreinte prononcée à l’encontre de Clearview AI ». À la sanction de 20 millions d'euros qu'elle a prononcée en octobre, s'ajoute donc une nouvelle amende de 5,2 millions à l'encontre de la société de reconnaissance biométrique faciale américaine.

• RGPD : Clearview AI condamné à 20 millions d'euros d'amende, pour la 3e fois
• Reconnaissance faciale : Clearview AI mis en demeure par la CNIL

En octobre, la CNIL enjoignait Clearview à « cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées ». Mais depuis, la société fait la sourde oreille et n'a ni payé son amende ni «  transmis aucun élément permettant d’attester de sa mise en conformité à l’injonction prononcée à son encontre » selon la délibération de l'Autorité publiée le 10 mai dernier.

Cette sanction avait été prise car l'entreprise « collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web », sur les réseaux sociaux, mais aussi sur les sites web d'entreprises présentant leurs salariés ou en extrayant les visages de vidéos disponibles en ligne.

Et Clearview est récidiviste. C'était la quatrième amende qu'elle recevait en Europe sur le sujet : deux amendes de 20 millions d'euros en Italie, en mars 2022, ainsi qu'en Grèce en juillet 2022, et de 7,5 millions de livres en Grande-Bretagne en mai.

Pour s'assurer le paiement de cette amende, la CNIL l'avait assortie d'une « injonction d’une astreinte de cent mille euros (100 000 euros) par jour de retard à l’issue d’un délai de deux mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ».

C'est l'addition des jours de retard décomptés par la CNIL qui, au final, fait un total de 5,2 millions d'euros à payer en plus pour l'entreprise américaine.

Et maintenant, comment faire appliquer ?

Mais le problème, c'est que si cette décision contraint juridiquement et théoriquement Clearview à payer ces 25 millions d'euros auprès de la CNIL, l'autorité n'a pas de moyen direct pour contraindre l'entreprise à payer et à appliquer son injonction, c'est-à-dire, l'arrêt de la collecte d'images.

Depuis le début du dossier, l'entreprise ne montre aucune volonté de collaborer avec l'Autorité française ni à se plier à ses injonctions. Dans sa délibération d'octobre déjà, la CNIL soulignait que l'entreprise n'avait « présenté aucune observation en défense » et n'avait pas « répondu de manière satisfaisante aux demandes de la CNIL dans les délais impartis », avant de ne répondre « que de manière très partielle » au questionnaire de contrôle qui lui avait été adressé.

Quand on lui demande ce qu'elle compte faire, l'autorité répond à Next INpact que « s’agissant de l’injonction, la CNIL continue de se rapprocher de son homologue américain, la Federal Trade Commission (FTC), pour évoquer la façon dont nous pourrions nous assurer de l’exécution de l’injonction prononcée à l’encontre de la société. ».

En ce qui concerne l'astreinte, « le Ministère de l’Économie et des Finances se rapproche de la FTC pour envisager les moyens existants et possibles à mettre en œuvre pour recouvrer l’amende ainsi que l’astreinte », explique-t-elle.

Un court délai avant la liquidation de l'astreinte

Une autre question se pose : celle du montant de la liquidation de l'astreinte. Au regard des 20 millions d'euros de l'amende initiale, si les 5,2 millions d'euros ne sont pas ridicules, ils n'ont pas fait plier Clearview.

La CNIL n'utilise qu'exceptionnellement la liquidation. C'est en 2021 qu'elle l'a fait pour la première fois, expliquait-elle en janvier 2022 dans son bilan annuel. Et, à l'époque, elle précisait que « la société concernée, initialement sanctionnée d’une amende de 7 300 euros, a dû payer 65 000 euros supplémentaires car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction ». Le montant de cette première liquidation était huit fois supérieur à l'amende initiale.

Ici, la liquidation de l'astreinte de Clearview correspond à un peu plus d'un quart de l'amende que lui a infligée la CNIL.

Deux paramètres entrent en ligne de compte : le montant de l'astreinte journalière (100 000 euros) et le nombre de jours décomptés avant la liquidation de l'astreinte.

La délibération de l'astreinte indique que la période prise en compte pour cette liquidation est du 19 décembre 2022 au 9 février 2023, ce qui fait bien 52 jours. « Sur le plan procédural, les délais normaux ont été respectés : deux mois d’injonction ainsi que l'engagement du contradictoire et les droits de la défense » précise la CNIL. Le 9 février est, de fait, la date de réunion de la formation restreinte de l'autorité qui a décidé de cette liquidation.

Dossier non clôturé

La CNIL affirme à Next INpact qu' « il faut savoir que cette liquidation est sans préjudice d’éventuelles autres actions si jamais la mise en conformité n’est pas effective ». Le dossier de Clearview à la CNIL ne serait pas forcément refermé et l'entreprise pourrait à nouveau recevoir des nouvelles de l'autorité.

Interrogé par nos soins, l'avocat Alexandre Archambault confirme : « la liquidation de l'astreinte ne signifie pas fin du dossier, car l'injonction n'est pas clôturée. »

Mais tant que l'autorité ne trouve pas un moyen de contraindre l'entreprise à payer les amendes qu'elle lui inflige, ces millions d'euros d'amende restent, pour le moment, très virtuels.