lun. Déc 5th, 2022

La CNIL a infligé une amende à la société américaine Clearview AI pour violation des lois sur la protection des données

La France a imposé la peine maximale autorisée par le RGPD à Clearview AI, une entreprise qui a illégalement scanné des visages et stocké les données qu’elle a collectées. Clearview s’est montré peu coopératif dans l’enquête. La CNIL en a fait part dans un communiqué. Ils ont partagé:

« Suite à une décision de justice restée sans effet, la CNIL a prononcé une amende de 20 millions d’euros et ordonné à Clearview AI de cesser de collecter et d’utiliser des données personnelles en France sans base légale et de supprimer les données déjà collectées. »

Clearview AI viole les lois sur la confidentialité

En mai 2020, la CNIL a reçu des plaintes de particuliers concernant le logiciel de reconnaissance faciale de Clearview AI et a par la suite ouvert une enquête. Comme expliqué par la CNIL, le 16 décembre 2021, l’autorité de Clearview AI a informé Clearview AI des violations dans une communication formelle, mais la société a ignoré cette communication. L’une des violations du RGPD répertoriées par l’autorité française à l’époque des faits était le traitement illicite de données à caractère personnel. D’autre part, la restriction du droit de l’individu à accéder aux données et une demande de suppression des données. La CNIL a également ordonné à l’entreprise de cesser de collecter les images publiées par les personnes en ligne et a donné à l’entreprise deux mois pour se conformer aux ordonnances. Clearview AI a omis à plusieurs reprises de se conformer à cette ordonnance. Cela a conduit à une autre violation, à savoir le manque de coopération. La CNIL résume :

« Clearview AI disposait de deux mois pour se conformer aux injonctions formulées dans la requête et les justifier auprès de la CNIL. Cependant, l’entreprise n’a pas répondu à cette demande, qui annonçait déjà la sanction. Le président de la CNIL a donc décidé de saisir la commission restreinte chargée de prononcer les sanctions. Sur la base des éléments portés à sa connaissance, le comité restreint a décidé, en application de l’article 83 du RGPD [Datenschutz-Grundverordnung] infliger une amende maximale de 20 millions d’euros.

Logiciel de reconnaissance faciale aux identités réelles

Clearview AI est une société américaine basée à New York. L’entreprise s’est spécialisée dans la reconnaissance faciale avec des systèmes informatiques utilisant de très grandes quantités de données d’images et d’apprentissage automatique. À l’aide d’un logiciel développé en interne, les personnes peuvent être reconnues par leurs traits faciaux en quelques secondes seulement.

Voir aussi  Le bitcoin est plus nocif pour le climat que le boeuf - selon cette étude

La base de données accède désormais à plus de 20 milliards d’images que l’entreprise a collectées auprès de personnes provenant de sources accessibles au public sur Internet, telles que Facebook ou YouTube, grâce au grattage d’écran. Clearview utilise ces photos pour entraîner son outil. La société a reçu de bonnes notes en termes de précision du taux de réussite. L’investisseur américain Peter Thiel, qui a entre autres soutenu financièrement la société d’analyse de données Palantir, a également subventionné ce projet.

L’Office américain des brevets et des marques (USPTO) a récemment accordé le brevet pour Clearview « Pipeline de préparation de données de formation évolutive et formateur distribué efficace pour les réseaux de neurones profonds dans la reconnaissance faciale » accordé. Selon l’entreprise, cela permettrait « Pour créer une reconnaissance faciale de haute précision accessible au public sans parti pris ».

En mai dernier, le Royaume-Uni a infligé une amende à Clearview pour avoir enfreint les lois sur la protection des données en collectant des images en ligne sans consentement, et maintenant la France a emboîté le pas. A cette époque, l’Information Commissioner’s Office (ICO) britannique avait réclamé une amende de 7 552 800 livres (environ 8,9 millions d’euros) à l’entreprise américaine. En outre, les autorités de protection des données d’Autriche et d’Italie avaient précédemment déposé des plaintes contre Clearview AI pour des violations présumées du RGPD.

La France demande la peine maximale

Comme TechCrunch l’a informé, le RGPD de l’UE voit « Des sanctions allant jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise pour les violations les plus graves – ou 20 millions d’euros, selon le montant le plus élevé ».

Clearview AI conteste la compétence de l’autorité de contrôle française CNIL. Le PDG de Clearview, Hoan Ton-That, a déclaré à l’AFP que l’entreprise ne serait pas soumise au RGPD. Ils n’ont ni clients ni présence en France. De plus, il n’a pas été possible de déterminer quelles personnes figurant dans leur base de données résident en France.

Voir aussi  Le simple fait d'aimer peut être punissable