En décembre dernier, la CNIL annonçait mettre en demeure Clearview AI de cesser son activité qui consiste à créer une base de données à partir de vidéos et photos publiquement accessibles sur Internet.
À présent, dans la même lignée, le régulateur italien a infligé une amende de 20 millions d'euros à la société au titre de la violation du règlement européen général sur la protection des données (RGPD).
Un outil controversé pour les forces de l'ordre
Clearview AI est une société controversée. Elle récupère des photos et vidéos de visages disponibles publiquement sur Internet afin de créer une base de données. Cette base est ensuite cédée aux forces de l'ordre, dans le but d'identifier des personnes ayant commis des délits. En janvier 2021, après l'assaut du Capitole américain, Clearview AI avait constaté une nette augmentation de l'utilisation de son service.
Problème : selon l'enquête de la Garante per la protezione dei dati personali (GPDP, l'équivalent italien de notre CNIL), les données recueillies par Clearview AI « sont traitées illégalement, sans base légale adéquate ».
Autrement dit, son activité va à l'encontre du RPGD. Parmi les infractions relevées, la GPDP cite :
- Une atteinte à l'obligation de transparence, car l'enseigne n'a pas suffisamment informé les personnes de l'utilisation de leurs images ;
- Une atteinte à la finalité, l'objectif étant autre que celui pour lesquelles les images ont été initialement mises en ligne ;
- Une atteinte à la conservation des données sans limite de stockage.
ClearView AI bientôt bridé ?
L'enquête avait été lancée « à la suite de réclamations et de signalements », selon les termes de la GPDP. L'organisme ajoute qu'en plus de la violation des données, l'entreprise suivait aussi activement des citoyens italiens et d'autres personnes présentes en Italie.
Le régulateur a donc prononcé une amende de 20 millions d'euros à l'entreprise et l'a sommée de supprimer toutes les données qu'elle détient sur des Italiens, en plus de lui interdire tout traitement ultérieur de la reconnaissance faciale dans le pays. La décision est ironique : il y a quelques semaines seulement, Clearview AI annonçait lors d'une présentation qu'elle serait capable, d'ici un an, d'identifier pratiquement n'importe qui. À l'heure actuelle, sa base de données comprendrait 10 milliards de visages.
Le P.-D.G. de l'entreprise, Hoan Ton-That, se défend de porter atteinte à la règlementation et déclare : « Nous recueillons uniquement des données publiques à partir d'Internet et respectons toutes les normes de confidentialité et de droit. Je suis déçu par cette mauvaise interprétation en Italie, où la technologie de Clearview AI ne fait pas d'affaires. »
La CNIL ayant accordé un délai de deux mois pour la suppression des données, la sanction italienne devient la plus sévère face à Clearview AI. En novembre, l'Information Commissioner’s Office (ICO) britannique avait averti d'une possible amende.
La question du versement de l'amende pourrait cependant devenir un problème. Pour qu'elle soit possible, l'entreprise américaine Clearview AI doit disposer d'un représentant dans l'UE, une autre exigence légale que l'entreprise n'a pas remplie. Comme le note TechCrunch, faute de représentant, les régulateurs pourraient adresser l'amende aux clients de l'enseigne. Autrement dit, aux forces de l'ordre.
Source : TechCrunch
