Formations 

Blog Données personnelles

  1. Accueil
  2. Blogs
  3. Données personnelles
  4. Reconnaissance faciale : sanction m...

Reconnaissance faciale : sanction maximale de la CNIL à l’encontre de la société CLEARVIEW AI

Dans une délibération en date du 17 octobre 2022 D [1], la CNIL a prononcé une sanction d’un montant de 20 millions d’euros à l’encontre de la société CLEARVIEW AI, après lui avoir adressé une mise en demeure, restée sans réponse, en raison de la collecte et de l’utilisation des données des personnes se trouvant en France.

1. Les faits

La société CLEARVIEW, établie aux États-Unis, a été créée en 2017. Elle a développé un logiciel de reconnaissance faciale qui repose sur l’aspiration d’images publiquement accessibles sur Internet et qui permet d’identifier une personne à partir d’une photographie la représentant.

La CNIL a été saisie entre mai et décembre 2020 de plusieurs réclamations relatives aux difficultés rencontrées par les plaignants pour exercer leurs droits d’accès et d’effacement auprès de la société.

Une délégation de la CNIL a ainsi procédé à une mission de contrôle sur pièces par l’envoi d’un questionnaire en date du 27 octobre 2020, auquel la société a répondu par un courrier du 27 novembre suivant. Ce questionnaire portait notamment sur les différents traitements mis en œuvre par la société, ainsi que les organismes utilisateurs des services de la société (actuels ou anciens).

Les investigations menées par la CNIL ont permis de constater plusieurs manquements au RGPD :

  • un traitement illicite de données personnelles (manquement aux articles 6 et 9 du RGPD) car la collecte et l’utilisation des données biométriques s’effectue sans base légale ;
  • l’absence de prise en compte satisfaisante et effective des droits des personnes (articles 12, 15 et 17 du RGPD).

Le 26 novembre 2021, la CNIL a ainsi mis en demeure [2] la société CLEARVIEW AI de se conformer sous un délai de deux mois aux dispositions des articles 6, 12, 15 et 17 du RGPD.

C’est dans un contexte d’absence de réponse à cette mise en demeure que la CNIL a opéré son contrôle, et c’est sur la base des éléments portés à sa connaissance qu’elle a décidé de prononcer une sanction pécuniaire maximale en application de l’article 83 du RGPD, soit 20 millions d’euros, notamment au regard des risques très importants pour les droits fondamentaux des personnes concernées résultant du traitement mis en œuvre par la société.

2. Le traitement en cause

La société CLEARVIEW AI collecte toutes les images sur lesquelles apparaissent des visages de personnes mineures et majeures, sur des millions de sites web. Des photographies sont ainsi extraites, notamment de réseaux sociaux ou encore de sites professionnels contenant des photographies de leurs salariés.

À partir de chaque photographie collectée, la société CLEARVIEW AI calcule un gabarit biométrique. Une empreinte numérique unique est ainsi générée et les images sont ensuite enregistrées dans une base de données sous une forme permettant de les rechercher. Ledit moteur de recherche est ensuite commercialisé.

Il s’agit donc d’un dispositif de reconnaissance faciale en ce que le traitement vise à identifier la personne de façon unique à partir d’une photographie de l’individu.

3. Les motifs de la décision

1. Sur l’applicabilité du RGPD

Puisque la société CLEARVIEW AI n’est pas établie au sein de l’Union européenne, il convient donc, pour que le RGPD soit applicable au traitement en cause, de déterminer si la société traite des données à caractère personnel relatives à des personnes concernées sur le territoire de l’Union européenne.

Tout d’abord, la société collecte notamment :

  • des photographies publiquement accessibles sur Internet ;
  • les informations pouvant être extraites de ces photographies, telles que les métadonnées de géolocalisation que la photographie peut contenir ;
  • les informations dérivées de l’apparence faciale des personnes figurant sur ces photographies.

L’image de la personne photographiée ou filmée constitue une donnée à caractère personnel dès lors que la personne est identifiable, c’est-à-dire qu’elle peut être reconnue. Ainsi, les données collectées constituent des données à caractère personnel.

En outre, la société CLEARVIEW AI traite des données biométriques associées à ces images.

Enfin, les images collectées concernent des personnes situées dans l’Union européenne.

2. Sur la compétence de la CNIL

Le considérant 46 de la présente décision, se référant au considérant 122 du RGPD, explique qu’il ressort d’une lecture combinée des articles 55 et 56 du RGPD que, dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en œuvre un traitement transfrontalier soumis au RGPD mais qu’il n’y dispose ni d’un établissement principal, ni d’un établissement unique, le mécanisme du guichet unique prévu à l’article 56 du RGPD n’a pas vocation à s’appliquer. Chaque autorité de contrôle nationale est donc compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève.

En l’espèce, la société CLEARVIEW AI est établie aux États-Unis et ne dispose d’aucun établissement sur le territoire d’un état membre de l’Union européenne.

Ainsi, la formation restreinte de la CNIL a considéré que le mécanisme du guichet unique n’était pas applicable et que la CNIL était compétente pour veiller, sur le territoire français, à ce que les traitements soient mis en œuvre conformément aux dispositions du RGPD.

3. Sur les manquements au RGPD

La formation restreinte de la CNIL a retenu plusieurs manquements au RGPD à l’encontre de la société CLEARVIEW AI.

  • un manquement à l’obligation de disposer d’une base juridique pour les traitements mis en œuvre concernant des données sensibles (articles 6 et 9 du RGPD) :
    • d’une part, pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale CLEARVIEW AI, qui ne respecte pas cette règle, est donc illicite. Le consentement n’est pas recueilli et ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données ;
    • d’autre part, à partir des données collectées par CLEARVIEW AI, est constitué un gabarit biométrique, c’est-à-dire une donnée biométrique considérée comme sensible aux termes de l’article 9 du RGPD. Dans ce contexte, la condition de traitement de ces données sensibles n’est pas respectée en l’espèce.
  • un manquement à l’obligation de respecter le droit d’accès (articles 12 et 15 du RGPD) : la CNIL a relevé des difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société CLEARVIEW AI. En effet, la société ne facilitait pas l’exercice du droit d’accès des personnes concernées :
    • en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
    • en restreignant l’exercice de ce droit à deux fois par an, sans justification ;
    • en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne ;
  • un manquement à l’obligation de respecter le droit d’effacement (article 17 du RGPD)  : la CNIL a relevé que la société ne répondait pas de manière effective aux demandes d’accès et d’effacement qui lui étaient adressées ;
  • un manquement à l’obligation de coopérer avec les services de la CNIL (article 31 du RGPD) : au cours de la procédure, la société n’a répondu que de manière très partielle au questionnaire de contrôle qui lui avait été adressé et n’a apporté aucune réponse à la mise en demeure du 26 novembre 2021 ;

[1élibération SAN-2022-019 du 17 octobre 2022

[2Décision MED-2021-134 du 26 novembre 2021

  ⇐ Précédent
Suivant ⇒