Le 20 octobre 2022, la Commission nationale de l'informatique et des libertés (CNIL) a sanctionné Clearview AI, entreprise américaine spécialisée dans la reconnaissance biométrique faciale. Cette dernière va devoir s'acquitter d'une amende de 20 millions d'euros pour avoir collecté et utiliser une grande quantité de données biométriques sans y être autorisée.

Mise en demeure par la CNIL, Clearview AI se voit sanctionner

Depuis décembre 2021, la CNIL a Clearview AI dans son viseur. Cette entreprise américaine spécialisée dans les technologies de reconnaissance faciale aurait, selon l'autorité française, violé plusieurs articles du règlement général pour la protection des données personnelles (RGPD). Le régulateur considère que la firme traite illicitement une immense quantité de données personnelles, ce qui est un manquement à l'article 6 du RGPD, et ne prendrait pas en compte de manière satisfaisante et effective le droit des personnes vis-à-vis de leur donnée, ce qui ne respecte pas les articles 12, 15 et 17 du même règlement.

Pour ces raisons, la CNIL avait mis en demeure l'entreprise américaine et lui avait demandé de mettre fin à ces pratiques illicites. Si initialement, cette mise en demeure devait durer que deux moins, le gendarme français de la protection des données a laissé plus de temps à Clearview AI pour qu'il puisse régulariser sa situation. Malgré cela, la CNIL considère que la firme américaine n'a rien fait pour être en règle.

Une enquête approfondie a permis de mettre en lumière les agissements de Clearview AI

Pour la CNIL, « la société s’est approprié plus de 20 milliards d’images à travers le monde ». Elle ajoute que « l’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif ». Le régulateur affirme qu'elle a reçu de multiples plaintes à partir de mai 2020 et qu'elle a lancé une enquête les mois qui ont suivi avec l'aide d'autres autorités européennes.

Au terme de cette enquête et de l'inaction de Clearview AI pour mettre fin à ces agissements, la CNIL a appliqué l'article 83 du RGPD, l'autorisant à sanctionner l'entreprise et à prononcer « une sanction pécuniaire maximale ». Dans un communiqué, la commission a donc annoncé qu'elle sanctionnait Clearview AI d'une amende de 20 millions d'euros tout en lui demandant de mettre fin à ses agissements illicites. À noter que la société a deux mois pour payer cette amende, sans quoi, celle-ci augmentera de 100 000 euros par jour de retard.

Dans d'autres pays, des sanctions équivalentes ont été prises à l'encontre de Clearview AI. C'est le cas du Royaume-Uni où elle a été obligée de payer une amende de près de 9 millions d'euros pour des raisons sensibles identiques à celles évoquées par la CNIL. Aux États-Unis, pays d'origine de l'entreprise, elle n'a plus le droit de vendre sa base de données aux entreprises privées. Pour l'heure, la technologie de Clearview AI est utilisée par les autorités américaines ou encore dans le cadre de la Guerre en Ukraine.