Dans une délibération en date du 17 octobre 2022 D [1], la CNIL a prononcé une sanction d’un montant de 20 millions d’euros à l’encontre de la société CLEARVIEW AI, après lui avoir adressé une mise en demeure, restée sans réponse, en raison de la collecte et de l’utilisation des données des personnes se trouvant en France.
La société CLEARVIEW, établie aux États-Unis, a été créée en 2017. Elle a développé un logiciel de reconnaissance faciale qui repose sur l’aspiration d’images publiquement accessibles sur Internet et qui permet d’identifier une personne à partir d’une photographie la représentant.
La CNIL a été saisie entre mai et décembre 2020 de plusieurs réclamations relatives aux difficultés rencontrées par les plaignants pour exercer leurs droits d’accès et d’effacement auprès de la société.
Une délégation de la CNIL a ainsi procédé à une mission de contrôle sur pièces par l’envoi d’un questionnaire en date du 27 octobre 2020, auquel la société a répondu par un courrier du 27 novembre suivant. Ce questionnaire portait notamment sur les différents traitements mis en œuvre par la société, ainsi que les organismes utilisateurs des services de la société (actuels ou anciens).
Les investigations menées par la CNIL ont permis de constater plusieurs manquements au RGPD :
Le 26 novembre 2021, la CNIL a ainsi mis en demeure [2] la société CLEARVIEW AI de se conformer sous un délai de deux mois aux dispositions des articles 6, 12, 15 et 17 du RGPD.
C’est dans un contexte d’absence de réponse à cette mise en demeure que la CNIL a opéré son contrôle, et c’est sur la base des éléments portés à sa connaissance qu’elle a décidé de prononcer une sanction pécuniaire maximale en application de l’article 83 du RGPD, soit 20 millions d’euros, notamment au regard des risques très importants pour les droits fondamentaux des personnes concernées résultant du traitement mis en œuvre par la société.
La société CLEARVIEW AI collecte toutes les images sur lesquelles apparaissent des visages de personnes mineures et majeures, sur des millions de sites web. Des photographies sont ainsi extraites, notamment de réseaux sociaux ou encore de sites professionnels contenant des photographies de leurs salariés.
À partir de chaque photographie collectée, la société CLEARVIEW AI calcule un gabarit biométrique. Une empreinte numérique unique est ainsi générée et les images sont ensuite enregistrées dans une base de données sous une forme permettant de les rechercher. Ledit moteur de recherche est ensuite commercialisé.
Il s’agit donc d’un dispositif de reconnaissance faciale en ce que le traitement vise à identifier la personne de façon unique à partir d’une photographie de l’individu.
Puisque la société CLEARVIEW AI n’est pas établie au sein de l’Union européenne, il convient donc, pour que le RGPD soit applicable au traitement en cause, de déterminer si la société traite des données à caractère personnel relatives à des personnes concernées sur le territoire de l’Union européenne.
Tout d’abord, la société collecte notamment :
L’image de la personne photographiée ou filmée constitue une donnée à caractère personnel dès lors que la personne est identifiable, c’est-à-dire qu’elle peut être reconnue. Ainsi, les données collectées constituent des données à caractère personnel.
En outre, la société CLEARVIEW AI traite des données biométriques associées à ces images.
Enfin, les images collectées concernent des personnes situées dans l’Union européenne.
Le considérant 46 de la présente décision, se référant au considérant 122 du RGPD, explique qu’il ressort d’une lecture combinée des articles 55 et 56 du RGPD que, dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en œuvre un traitement transfrontalier soumis au RGPD mais qu’il n’y dispose ni d’un établissement principal, ni d’un établissement unique, le mécanisme du guichet unique prévu à l’article 56 du RGPD n’a pas vocation à s’appliquer. Chaque autorité de contrôle nationale est donc compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève.
En l’espèce, la société CLEARVIEW AI est établie aux États-Unis et ne dispose d’aucun établissement sur le territoire d’un état membre de l’Union européenne.
Ainsi, la formation restreinte de la CNIL a considéré que le mécanisme du guichet unique n’était pas applicable et que la CNIL était compétente pour veiller, sur le territoire français, à ce que les traitements soient mis en œuvre conformément aux dispositions du RGPD.
La formation restreinte de la CNIL a retenu plusieurs manquements au RGPD à l’encontre de la société CLEARVIEW AI.
[1] élibération SAN-2022-019 du 17 octobre 2022
[2] Décision MED-2021-134 du 26 novembre 2021