Transferts de données vers les Etats-Unis : vers la fin de l’incertitude ?
13 octobre 2022L’obligation de demander des informations complémentaires pour l’exercice des droits en cas de doute sur l’identité de la personne
21 octobre 2022Clearview AI de nouveau sanctionné par une amende record de 20 millions d’euros
Article mis à jour le 20/10/2022
Pour rappel, le ministère ukrainien de la défense utilise depuis le samedi 12 mars 2022 la technologie de reconnaissance faciale mise au point par la société américaine Clearview AI, afin d’identifier les assaillants russes, les morts et lutter contre la désinformation.
Clearview AI, start-up américaine, commercialise une base image sous forme d’un moteur de recherche permettant de chercher une personne à partir d’une photographie, grâce aux dizaines de milliard d’images que la société récupère à partir d’un grand nombre de sites web, réseaux sociaux et plateformes vidéo publics. Ces données lui permettent alors de constituer un gabarit biométrique. Certaines des personnes concernées se trouvent sur le territoire européen et notamment en France, rendant applicable le RGPD et compétente la CNIL.
La CNIL reprochait jusqu’alors à Clearview AI de réaliser des traitements illicites de données personnelles puisque dépourvus de base légale (pas de consentement des personnes concernées ni d’intérêt légitime de sa part) violant l’article 6 du RGPD.
Elle lui reprochait également de ne pas traiter les demandes d’exercice des droits reçus (notamment d’accès et d’effacement qui lui ont été adressés).
Cette dernière a donc mis en demeure la société de cesser le traitement sur les données des personnes situées sur le territoire français, de faciliter l’exercice de leur droit et de répondre aux demandes d’effacement reçues dans un délai de 2 mois.
Depuis juillet 2022, son homologue grecque avait condamné la société américaine à une amende de 20 millions d’euros et l’a enjoint de supprimer l’ensemble des données personnelles récoltées jusqu’alors, à l’insu des citoyens grecs. Cette amende au montant record montre à nouveau l’importance du Règlement Général à la Protection des Données et de sa bonne exécution au sein des entreprises. Ici, le non-respect de la vie privée par la collecte et la diffusion des visages des passants implique une grave violation du RGPD.
La vente d’un tel outil à des entreprises privées ajoute un degré supplémentaire, puisqu’à l’origine, cet outil était destiné uniquement aux forces de l’ordre.
La CNIL française vient de prononcer le 17 octobre 2022 la sanction maximale à l’encontre de cette société. Comme la CNIL grecque l’a décidé les dernières semaines, la CNIL française sanctionne Clearview AI d’une amende de 20 millions d’euros pour plusieurs raisons :
- Aucune base légale pour la collecte systématique et généralisée des images de visages publiquement accessibles sur des millions de sites web.
- Caractère intrusif particulièrement fort du traitement.
- Violation des droits d’accès et d’effacement.
- Manquement à l’obligation de coopérer avec les services de la CNIL
Pour en savoir plus :
La Cnil grecque inflige une amende de 20 millions d’euros à Clearview AI, Alice Vittar, 19 juillet 2022