LEBIGDATA.FR I.A, Cloud & Cybersécurité
La CNIL accuse l'entreprise Clearview AI d'enfreindre le RGPD. La firme américaine est accusée de collecter les données personnelles des Français sans leur consentement pour nourrir sa technologie de reconnaissance faciale…
La reconnaissance faciale est une technologie à double tranchant. Elle peut être un précieux atout pour la police, en permettant une meilleure surveillance. Toutefois, elle représente aussi un danger pour la confidentialité.
L'entreprise Clearview AI suscite la controverse avec son logiciel de reconnaissance faciale. Pour développer cet outil, elle a amassé 10 milliards d'images de selfies sur internet dans une base de données. À présent, la firme vend à la police son service permettant d'associer un visage avec une identité.
La CNIL accuse Clearview d'enfreindre plusieurs lois du RGPD
Déjà bannie de nombreux pays, Clearview AI est dans le collimateur de la CNIL. Le gendarme français des données personnelles accuse l'entreprise américaine d'enfreindre le RGPD.
L'institution donne à Clearview la notification formelle de cesser son » traitement illégal « , et l'appelle à supprimer les données personnelles amassées dans un délai de deux mois. Cette décision fait suite à de nombreuses plaintes déposées auprès de la CNIL contre Clearview depuis le mois de mai 2020.
Au total, la CNIL accuse Clearview d'enfreindre deux lois du RGPD. Elle viole tout d'abord l'article 6 sur la légalité du traitement en collectant et en utilisant des données biométriques sans base légale.
En effet, Clearview n'a pas recueilli le consentement des citoyens pour utiliser leurs données biométriques faciales. Le traitement n'est pas jugé légal par la CNIL, qui le décrit comme » particulièrement intrusif » et à une échelle massive.
Dans son communiqué, l'organisation note que » ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s'attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des États à des fins policières « .
En outre, l'entreprise enfreint une large variété de droits d'accès aux données définis par les Articles 12,15 et 17. La CNIL s'est aperçue que Clearview limite le droit d'accès des individus à leurs données à deux fois par an, » sans justification « . L'accès est par ailleurs limité aux données collectées au cours des douze précédents mois, et la firme répond uniquement à certaines requêtes après un nombre excessif de demandes d'une même personne.
Clearview AI dans le viseur des autorités de protection des données de l'UE
La firme américaine n'a pas de siège dans l'Union européenne. Elle est donc soumise aux différentes autorités de protection des données de l'UE telle que la CNIL.
La consigne du régulateur français s'applique uniquement aux données détenues par Clearview sur les citoyens français, qui représenteraient plusieurs dizaines de millions d'internautes. Toutefois, les autres agences européennes devraient prendre des mesures similaires. La CNIL souligne d'ailleurs avoir partagé les résultats de ses enquêtes avec les autres autorités européennes de protection des données.
Auparavant, le service de Clearview a été accusé d'enfreindre les règles de confidentialité des données au Canada, en Australie et au Royaume-Uni. L'entreprise a pour consigne d'effacer les données des citoyens de ces pays et risque de lourdes amendes.
Une amende impossible à infliger ?
La CNIL ordonne à Clearview de faire en sorte d'appliquer le RGPD, notamment en répondant aux requêtes des citoyens pour la suppression de leurs données. Si la firme ne se soumet pas à ces ordres, la CNIL menace de prendre davantage de mesures dont une possible amende.
Rappelons que les amendes RGPD peuvent atteindre 20 millions d'euros ou 4% du revenu annuel de l'entreprise sanctionnée. Il est toutefois difficile d'infliger une telle amende à une entreprise n'ayant pas de siège dans l'UE.
Le CEO de Clearview, Hoan Ton-That, a publié un communiqué suggérant que son entreprise n'est pas soumise au RGPD. N'ayant pas de siège en France ou dans l'UE, la firme n'a pas de clients en France ou dans l'UE et estime ne pas être contrainte à suivre ce règlement. Pourtant, toute entreprise étrangère traitant des données en France est supposément soumise à cette loi européenne…
En parallèle, le CEO déclare avoir grand en Australie et avoir longtemps considéré la France comme » la capitale de la beauté et de l'excellence « . Il affirme avoir » un profond respect pour le pays et ses habitants « .
Selon lui, cette technologie de reconnaissance faciale a pour but de rendre le monde plus sûr et d'aider les autorités à résoudre les crimes les plus terribles. D'après ses dires, Clearview collecte uniquement des données publiques sur internet et respecte tous les standards de confidentialité.
Ainsi, Hoan Ton-That dit avoir » le coeur brisé par la mauvaise interprétation de certains en France, où nous ne faisons pas de business, sur la technologie de Clearview IA « . Il insiste sur le fait que ses intentions ont toujours été d'aider les communautés et leurs habitants à vivre » des vies plus sûres et meilleures « …
- Partager l'article :
