La société américaine Clearview AI a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet. Elle aurait ainsi récolté plus de 10 milliards de photos "sans base légale", ce que lui reproche la Commission Nationale de l'Informatique et des Libertés (CNIL) qui l’a mise en demeure de cesser ce traitement illicite et de supprimer les données dans un délai de deux mois.
Sur la page d'accueil de son site, Clearview AI indique :
"Nous avons développé une plate-forme de renseignement Web révolutionnaire que les forces de l'ordre peuvent utiliser comme outil pour aider à générer des pistes d'enquête de haute qualité. Notre plate-forme, alimentée par la technologie de reconnaissance faciale, comprend la plus grande base de données connue de plus de 10 milliards d'images faciales provenant de sources Web uniquement publiques, y compris les médias d'information, les sites Web mugshot, les réseaux sociaux et publics d'autres sources ouvertes."Clearview AI, qui s'est donné pour objectif de "soutenir l'application de la loi et les agences gouvernementales", a pu ainsi entraîner de nombreux algorithmes, mais vient de se faire fermement rappeler à l'ordre par la CNIL. Clearview AI avait été mise en cause par Jumbo Privacy, start-up française spécialiste de la protection des données, qui avait déposé une réclamation auprès de la CNIL en juillet 2020 pour divers manquements au Règlement général sur la protection des données (RGPD). En mai 2021, c'est au tour d'ONG Privacy International de porter plainte pour atteinte au droit français et au RGPD auprès de la CNIL, mais aussi auprès d'autres organismes de protection des données personnelles avec d'autres organisations de défense de la vie privée et des droits numériques. Clearview AI étant basée aux États-Unis, chaque pays européen a la compétence pour agir sur son territoire, la CNIL a partagé le résultat des investigations avec ses homologues européens qui ont permis de constater deux manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD);En conséquence, la présidente de la CNIL a décidé de mettre la société Clearview AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.