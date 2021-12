La Commission nationale de l'informatique et des libertés (Cnil) prend enfin position sur les activités de la société américaine Clearview AI. Elle a annoncé ce jeudi 16 décembre l'avoir mis en demeure de cesser la collecte et l'usage de photographies et vidéos accessibles en ligne ainsi que de supprimer les données dans un délai de deux mois.



La décision a en réalité été rendue le 26 novembre 2021 et c'est le 6 décembre qu'il a été décidé de rendre publique la mise en demeure. La publicité est justifiée par les caractéristiques du traitement en cause. "Ce traitement concerne plus de dix milliards d’images ainsi qu’un nombre considérable de personnes concernées. Ce sont donc plusieurs millions de personnes en France dont le visage apparaît sur une photographie ou une vidéo publiquement accessible sur Internet, et notamment sur un compte de réseau social, qui sont susceptibles d’être concernées par ce traitement", écrit le bureau de la Cnil.



De nombreuses réclamations

Comme l'indique la Cnil, elle a été saisie entre mai et décembre 2020 de plusieurs réclamations relatives aux difficultés rencontrées par les plaignants pour exercer leurs droits d'accès et d'effacement auprès de Clearview. Elle a également été saisie d'une plainte de Privacy International, une ONG spécialisée dans la protection des droits de l'Homme.



Cette start-up, basée à New-York, commercialise une plateforme en ligne sur laquelle se trouve un moteur de recherche. Il fonctionne en y téléchargeant la photographie d'un visage à partir de laquelle il va calculer "l'empreinte numérique" correspondante à celle-ci et effectuer une recherche les photographies auxquelles sont liées des empreintes similaires.



Les données sont aspirées sur Internet

La base de données, à l'origine du fonctionnement de ce moteur de recherche, est constituée de photographies et vidéos publiquement accessibles sur des réseaux sociaux, des sites professionnels contenant des photographies de leurs salariés ainsi que des blogs. . Des images sont également extraites de vidéos disponibles en ligne, par exemple sur YouTube. Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites "pour adultes" ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte, précise la Cnil.



Clearview décrit le service comme "un outil de recherche utilisé par les forces de l'ordre" pour retrouver un suspect. . Les forces de l’ordre peuvent ainsi utiliser cet outil afin d’identifier une personne dont elles disposent d’une image, par exemple, issue d’un enregistrement de vidéosurveillance, mais ne connaissent pas l’identité.



La Cnil a procédé à une mission de contrôle par l'envoi d'un questionnaire le 27 octobre 2020. Elle a constaté que la société met en oeuvre le traitement des données personnelles de manière illicite puisqu'elle ne dispose "d'aucune base juridique" pour ce faire en méconnaissance du Règlement général de la protection des données. En effet, un traitement n'est licite que s'il respect l'une des conditions suivantes : la personne concernée a donné son consentement, le traitement est nécessaire à l'exécution d'un contrat, au respect d'une obligation légale...



De plus, Clearview a méconnu son obligation de respecter et de faciliter l'exercice des droits d'accès et d'effacement des personnes concernées, conclut la Cnil.



Deux mois pour se mettre en conformité

Clearview a désormais deux mois pour se mettre en conformité avec les exigences de l'autorité française. A l'issue de ce délai, si la société s’est conformée à la présente mise en demeure, la procédure sera fermée. En revanche, dans le cas contraire, elle s'expose à une amende pouvant aller jusqu'à 10% de son chiffre d'affaires annuel mondial.



Clearview multiplie les poursuites. L'Information Commissioner's Office (ICO), l'équivalent de la Cnil au Royaume-Uni, veut infliger une amende de plus de 17 millions de livres sterling (environ 19,9 millions d'euros). La start-up est également dans le viseur des autorités autrichiennes, italiennes et grecques. Au Canada, trois organismes provinciaux de surveillance de la vie privée ont ordonné le 14 décembre à la société de cesser de collecter, d’utiliser et de divulguer des images de personnes sans leur consentement.



La mauvaise utilisation des données est au coeur de ces litiges mais également l'utilisation par les forces de l'ordre du logiciel de reconnaissance faciale. L'autorité suédoise de protection des données personnelles (IMY) a ainsi condamné la police nationale à une amende de 250 000 euros pour l'utilisation illégale du logiciel.



Face aux critiques, Clearview AI utilise toujours le même moyen de défense. Elle affirme ne pas avoir besoin de recueillir le consentement des personnes parce qu'il s'agit de renseignements auxquels le public a déjà accès sur Internet. "Clearview AI explore le web accessible à tous et ne peut pas rechercher d'informations privées ou protégées, notamment dans les comptes de réseaux sociaux privés", a expliqué à plusieurs reprises Doug Mitchell, l'avocat de la société américaine.