accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Reconnaissance faciale : une sanction de 20 M€ prononcée par la CNIL à l'encontre d'une entreprise américaine

AAI
CNIL, actualités, 20 oct. 2022
[20.10.2022]

À la suite d'une mise en demeure restée sans réponse, la CNIL a prononcé une sanction de 20 M€ et enjoint à la société Clearview AI de cesser de collecter et d'utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées.

Entreprise américaine spécialisée dans la reconnaissance faciale, Clearview AI aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux. Elle collecte ainsi l'ensemble des photographies en ligne consultables sans connexion à un compte. Des images sont également extraites de vidéos accessibles quelles que soient les plateformes de diffusion.

Grâce à cette collecte, la société commercialise l'accès à sa base d'images de personnes sous la forme d'un moteur de recherche dans lequel un individu peut être recherché à l'aide d'une photographie. La technologie de reconnaissance faciale est ainsi utilisée pour interroger le moteur de recherche et trouver une personne à partir de sa photographie. Pour ce faire, la société constitue un « gabarit biométrique ». Ces données biométriques sont particulièrement sensibles, notamment parce qu'elles sont liées à notre identité physique et qu'elles permettent de nous identifier de façon unique. Et, l'immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif.

À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l'association Privacy International a également alerté la Commission sur cette pratique.

Les investigations menées ont permis de constater plusieurs manquements au RGPD :
- un traitement illicite de données personnelles, car la collecte et l'utilisation des données biométriques s'effectuent sans base légale ;
- l'absence de prise en compte satisfaisante et effective des droits des personnes.

Le 26 novembre 2021, la présidente de la CNIL a ainsi décidé de mettre la société Clearview AI en demeure de :
- cesser la collecte et l'usage des données de personnes se trouvant sur le territoire français en l'absence de base légale ;
- faciliter l'exercice des droits des personnes concernées et de faire droit aux demandes d'accès et d'effacement formulées.

La société disposait d'un délai de deux mois pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Cependant, elle n'a apporté aucune réponse à cette mise en demeure. La présidente de la CNIL a, par conséquent, décidé de saisir la formation restreinte, en charge de prononcer des sanctions.

Sur la base des éléments portés à sa connaissance, cette dernière a décidé de prononcer une sanction pécuniaire maximale en application de l'article 83 du RGPD, soit 20 M€.

« Au regard des risques très importants pour les droits fondamentaux des personnes concernées qui résultent du traitement mis en œuvre par la société », la formation restreinte a décidé d'enjoindre à Clearview AI de ne pas procéder, sans base légale, à la collecte et au traitement de données des personnes se trouvant en France et de supprimer les données de ces personnes qu'elle a déjà collectées, dans un délai de deux mois. La formation restreinte a assorti cette injonction d'une astreinte de 100 000 € par jour de retard au-delà de ces deux mois.

• Pour consulter la délibération de la formation restreinte de la CNIL, cliquez ici.