Le 17 octobre 2022, la Commission nationale de l’informatique et des libertés (ci-après « Cnil ») a prononcé la sanction pécuniaire maximales prévues par le règlement général sur la protection des données (ci-après « RGPD »), soit 20 millions d’euros, à l’encontre de l’entreprise américaine Clearview Ai.

La Cnil a également enjoint Clearview Ai, spécialisée dans la reconnaissance faciale, d’arrêter toute collecte et traitement de données de personnes situées en France et de supprimer les données qu’elle a déjà collecté dans un délai de deux mois.

La Cnil a assorti cette décision d’une astreinte de 100 000 euros par jour de retard au-delà de ces deux mois.

Les motivations de la Cnil.

La Cnil a fondé sa décision [1] sur l’article 83 du RGPD en constatant que :
 Clearview Ai effectue un traitement illicite de données personnelles par la collecte et l’utilisation des données biométriques sans base légale (article 6 du RGPD) ;
 Clearview Ai ne prend pas en compte de manière satisfaisante et effective les droits des personnes concernées (articles 12, 15 et 17 du RGPD). Il s’agit plus précisément de la transparence des informations, du droit d’accès et du droit à l’effacement de la personne concernée.

Pour rappel, l’article 6 du RGPD prévoit qu’un traitement de données personnelles doit être motivé par l’une des bases légales suivantes :
 le consentement ;
 l’obligation légale ;
 le contrat ;
 la sauvegarde des intérêts vitaux ;
 les intérêts légitimes ;
 l’intérêt public.

La sévérité de cette sanction s’explique par l’absence de coopération avec les services de la Cnil comme le prévoit l’article 31 du RGPD.

Selon la Cnil, la société n’a répondu que de manière très partielle au questionnaire de contrôle qui lui avait été adressé et n’a apporté aucune réponse à la mise en demeure de la présidente de la Cnil du 26 novembre 2021.

Le point de vue de Clearview Ai.

Clearview Ai [2] est une entreprise américaine spécialisée dans la reconnaissance faciale. À ce titre, elle utilise un logiciel qui permet de rechercher un visage parmi une base de données de plus de trente milliards d’images obtenues sur internet et particulièrement sur les réseaux sociaux.

L’algorithme utilisé par Clearview Ai peut détecter un individu avec « 99% de précision » à travers sa base de données de 30 milliards d’images de visages.

Cette pratique, réalisée en l’absence de base légale, repose alors sur un traitement illicite de données personnelles, contraire aux principes du RGPD.

Toutefois, cela ne semble pas inquiéter son fondateur, Hoan Ton-That, qui affirme dans un communiqué [3] transmis à l’Agence France-Presse qu’« il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur Internet, et il est donc impossible de supprimer les données des résidents français » avant de rajouter que « Clearview Ai ne collecte que des informations accessibles au public [4] sur Internet, comme tout autre moteur de recherche tel que Google, Bing ou DuckDuckGo ».

Le rapprochement de l’activité de Clearview Ai avec celle de Google ne fait pas l’unanimité, notamment en raison de la récente mise en demeure d’un gestionnaire de site web français qui utilisait Google Analytics [5].

M. Ton-That a précisé, dans un second communiqué [6], que son entreprise n’avait ni enseigne commerciale ni clients en France et dans l’Union européenne, et qu’elle n’entreprenait aucune activité la soumettant au RGPD.

Dans son communiqué du 20 octobre 2022, la Cnil précise avoir coopéré avec ses homologues européens [7]. En effet, Clearview Ai avait été condamnée à deux amendes de 20 millions d’euros en Italie [8] en mars 2022, puis en Grèce [9] en mai 2022.

Par conséquent, l’entreprise américaine qui se félicite de l’obtention d’un brevet [10] sur sa technologie de reconnaissance faciale devant l’Office américain des brevets et des marques a encore des améliorations à apporter à ses algorithmes pour agir conformément aux principes de la protection des données.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/