La société américaine Clearview AI a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet. Elle aurait ainsi récolté plus de 10 milliards de photos “sans base légale”, ce que lui reproche la Commission Nationale de l’Informatique et des Libertés (CNIL) qui l’a mise en demeure de cesser ce traitement illicite et de supprimer les données dans un délai de deux mois.
Sur la page d’accueil de son site, Clearview AI indique :
“Nous avons développé une plate-forme de renseignement Web révolutionnaire que les forces de l’ordre peuvent utiliser comme outil pour aider à générer des pistes d’enquête de haute qualité. Notre plate-forme, alimentée par la technologie de reconnaissance faciale, comprend la plus grande base de données connue de plus de 10 milliards d’images faciales provenant de sources Web uniquement publiques, y compris les médias d’information, les sites Web mugshot, les réseaux sociaux et publics d’autres sources ouvertes.”
Clearview AI, qui s’est donné pour objectif de “soutenir l’application de la loi et les agences gouvernementales”, a pu ainsi entraîner de nombreux algorithmes, mais vient de se faire fermement rappeler à l’ordre par la CNIL.
Clearview AI avait été mise en cause par Jumbo Privacy, start-up française spécialiste de la protection des données, qui avait déposé une réclamation auprès de la CNIL en juillet 2020 pour divers manquements au Règlement général sur la protection des données (RGPD). En mai 2021, c’est au tour d’ONG Privacy International de porter plainte pour atteinte au droit français et au RGPD auprès de la CNIL, mais aussi auprès d’autres organismes de protection des données personnelles avec d’autres organisations de défense de la vie privée et des droits numériques.
Clearview AI étant basée aux États-Unis, chaque pays européen a la compétence pour agir sur son territoire, la CNIL a partagé le résultat des investigations avec ses homologues européens qui ont permis de constater deux manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD);En conséquence, la présidente de la CNIL a décidé de mettre la société Clearview AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.
La CNIL a accordé un délai de deux mois à Clearview AI pour respecter et se conformer à ses injonctions. Dans le cas contraire, la CNIL pourra prononcer une sanction, notamment pécuniaire.
Le service de reconnaissance faciale de Clearview AI
Grâce à cette collecte de plus de 10 milliards de photos, la société commercialise l’accès à sa base d’images sous la forme d’un moteur de recherche dans lequel une personne peut être recherchée à l’aide d’une photographie.
Pour ce faire, la société constitue un “gabarit biométrique”, c’est-à-dire une représentation numérique des caractéristiques physiques des personnes (ici, le visage). Pour la CNIL : “Ces données biométriques, sont particulièrement sensibles, notamment parce qu’elles sont liées à notre identité physique et qu’elles permettent de nous identifier de façon unique.”
Une possible atteinte à la vie privée ?
Clearview AI affirme : “Nous ne partagerons ni ne vendrons jamais les données des utilisateurs. Nous ne vendrons pas de publicités dans notre produit. Nous collectons uniquement des images et des données accessibles au public […] La technologie de recherche de Clearview AI est légale et constitutionnelle”.
La CNIL est d’un tout autre avis. Selon l’organisme français, “l’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif.”
Certaines de ces photos ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite. Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.
De plus, “ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des Etats à des fins policières.”
La gravité de ce manquement a conduit la présidente de la CNIL à enjoindre à Clearview AI de cesser, faute de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.
