Surveiller les surveillants : Clearview dans le viseur de la Cnil

Le 16 décembre 2021, la Cnil a annoncé avoir mis en demeure, par une décision en date du 26 novembre 2021, la société américaine de reconnaissance faciale Clearview AI. Elle a notamment exigé que Clearview cesse de procéder à la collecte sur Internet et au traitement de photographies ou vidéos de résidents français.

Le traitement mis en œuvre par Clearview

Clearview AI commercialise un logiciel de reconnaissance faciale permettant d’identifier une personne à partir d’une photographie. Ce moteur de recherche repose sur une base de données composée de photographies et vidéos collectées sur des sites Internet librement accessibles. Ainsi, Clearview aspire des photographies depuis des pages de réseaux sociaux pouvant être consultées sans compte, des annuaires d’entreprise ou des blogs, et extrait des images de vidéos disponibles sur des plateformes en ligne. Clearview indique avoir collecté plus de 10 milliards d’images depuis sa création en 2017.

Selon la CNIL, une empreinte numérique unique fondée sur le visage de l’individu concerné est créée par Clearview pour toute image inclue dans sa base de données. Le logiciel de reconnaissance faciale permet ainsi d’identifier les images auxquelles sont associées des empreintes similaires à celle de la photographie recherchée. Les résultats fournis par le moteur de recherche de Clearview contiennent également les URL des pages dont les photographies pertinentes ont été extraites, ce qui, selon la CNIL, permet de recueillir de nombreuses informations sur les habitudes et le comportement de la personne concernée. Clearview extrait également les métadonnées des photographies, notamment de géolocalisation lorsque ces informations sont disponibles, qui sont ensuite inclues dans les résultats de recherche.

Le logiciel de reconnaissance faciale de Clearview est utilisée par les forces de l’ordre de différents pays, pour rechercher des suspects, témoins ou victimes d’infractions, filmés par exemple par des caméras de vidéosurveillance. Il aurait notamment été utilisé aux Etats-Unis pour identifier les participants aux émeutes du Capitole de janvier 2021.

Les manquements de Clearview au RGPD selon la Cnil

La Cnil indique avoir été saisie entre mai et décembre 2020 de trois plaintes contre Clearview, relatives à l’exercice par les plaignants de leurs droits au titre du RGPD. En mai 2021, la Cnil a en outre reçu une plainte contre Clearview de l’ONG Privacy International, qui a également contacté les autorités de protection des données autrichiennes, italiennes, grecques et britanniques.

A la suite de ses opérations de contrôle, la Cnil a identifié plusieurs manquements au RGPD. En particulier, une base légale, parmi celles listées à l’article 6 du RGPD, doit être identifiée avant toute mise en œuvre d’un traitement de données personnelles. La Cnil relève que le traitement opéré par Clearview– au regard des contrôles menés, et de la politique de confidentialité de la société – ne dispose d’aucun fondement valable.

Clearview ne demande en effet pas le consentement des personnes concernées avant de collecter et de traiter des photographies et vidéos les représentant. Selon la Cnil, compte tenu de la nature du traitement, le seul autre fondement juridique potentiellement applicable aurait été l’intérêt légitime de Clearview. Néanmoins, cette base légale ne peut être utilisée qu’à condition que les intérêts ou les droits des personnes concernées ne prévalent pas sur l’intérêt de Clearview.

Or, la Cnil souligne que le traitement mis en œuvre par la société Clearview est particulièrement intrusif, au regard du nombre de personnes concernées (plusieurs millions d’internautes en France) et de données photographiques collectées, et de la combinaison de ces images avec d’autres données révélant les habitudes des personnes concernées. En outre, l’empreinte numérique, créée par Clearview à partir des images aspirées, est une donnée biométrique sensible car liée à l’identité physique d’un individu. Au demeurant, les personnes concernées ignorent que leur image est traitée par un logiciel de reconnaissance faciale destiné aux forces de l’ordre, et ne peuvent pas, selon la CNIL, raisonnablement s’attendre à cette réutilisation. La CNIL en conclut que l’atteinte portée à la vie privée des personnes concernées étant disproportionnée par rapport à l’intérêt commercial de la société Clearview, cette dernière ne peut pas se fonder sur son intérêt légitime pour procéder au traitement.

La Cnil a également relevé des manquements à l’obligation de respect des droits des personnes concernées. En effet, la Cnil relève que Clearview ne facilite pas l’exercice de ces droits (en limitant l’exercice du droit d’accès aux données collectées au cours des douze derniers mois et en n’acceptant que deux demandes d’accès par an de la part de la même personne, sans justification), et n’a pas répondu de manière satisfaisante aux demandes d’accès et d’effacement des plaignants.

Au vu de ces manquements au RGPD, la Cnil a mis en demeure à Clearview de cesser de collecter et traiter des données personnelles concernant des résidents français sans base légale, notamment en supprimant l’ensemble des données déjà collectées, et de faciliter l’exercice des droits des personnes concernées, en particulier en répondant aux demandes formulées par les plaignants.

Les suites pour Clearview

La CNIL a accordé à Clearview un délai de deux mois pour se conformer à sa mise en demeure ; à défaut, elle pourra prononcer à son encontre des sanctions, notamment une sanction pécuniaire pouvant s’élever à 20 millions d’euros (ou, si ce montant est plus élevé, 4% du chiffre d’affaires mondial de Clearview).

Clearview se trouve ainsi au centre des attentions des autorités, puisque des autorités de protection des données canadiennes l’ont également, en décembre 2021, enjoint à de cesser la collecte et l’utilisation de données personnelles sans consentement des individus concernés. Au Royaume-Uni, l’ICO (l’équivalent de la Cnil) a annoncé en novembre 2021 qu’elle pourrait imposer une amende de plus de 17 millions de livres sterling à la société de reconnaissance faciale, et demandé à cette dernière de supprimer toutes les données de citoyens britanniques.

Des actions d’autres autorités de contrôle de l’Union européenne sont envisageables, la Cnil soulignant notamment dans sa mise en demeure que, puisque Clearview est établie hors de l’Union Européenne, chaque autorité d’un Etat membre peut être compétente pour contrôler le respect par Clearview du RGPD sur son territoire.

La réglementation des technologies de reconnaissance faciale et d’intelligence artificielle est également évoquée de manière croissante. Le Parlement européen a ainsi adopté en octobre 2021 une résolution relative à l’utilisation de l’intelligence artificielle par les forces de l’ordre, dans laquelle il demande notamment l’interdiction des systèmes privés de reconnaissance faciale (comme celui de Clearview), tandis que la Commission européenne a dévoilé il y a quelques mois un projet de règlement visant à encadrer l’intelligence artificielle.