La CNIL condamne Clearview AI verser une amende de 20 Ms , accusant le spcialiste de la reconnaissance faciale d’avoir viol le RGPD en collectant des donnes biomtriques sans consentement

La CNIL a jug l’anne dernire que Clearview traitait illgalement des donnes personnelles et a ordonn l’entreprise d’y mettre fin en dcembre 2021. Cependant, selon le gendarme du numrique, l’entreprise spcialise dans la reconnaissance faciale n’a toujours pas rpondu sa mise en demeure, ce qui lui a valu une amende de 20 millions d’euros. Outre cette amende, la CNIL a de nouveau enjoint l’entreprise de cesser de collecter les donnes des personnes rsidant en France et de supprimer les donnes qu’elle avait dj collectes.

Le gendarme franais du numrique a dclar qu’il y avait des risques trs graves pour les droits fondamentaux des personnes concernes et a donn l’entreprise deux mois pour se conformer sa mise en demeure, sous peine d’encourir des amendes allant de 100 000 par jour.

Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l’entreprise indique que c’est un nouvel outil de recherche utilis par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. La technologie de Clearview a aid les forces de l’ordre traquer des centaines de criminels en gnral, notamment des pdophiles, des terroristes et des trafiquants sexuels .

Son fonctionnement est simple : vous prenez une photo d’une personne, la tlchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l’endroit o ces photos sont apparues. Le systme s’appuie sur une base de donnes de plus de trois milliards d’images que Clearview prtend avoir rcupres sur Facebook, YouTube, Venmo et des millions d’autres sites Web.

Clearview a donc construit sa base de donnes en prenant des images partir de rseaux sociaux et d’autres sources en ligne sans le consentement des sites Web ou des personnes photographies. Facebook, Google, Twitter et YouTube ont exig que l’entreprise cesse de prendre des photos de leurs sites et supprime celles qui ont t prcdemment prises. Clearview a fait valoir que sa collecte de donnes est protge par le premier amendement.

Chose lgale ou pas, plusieurs rapports publis en 2020 ont montr que de nombreuses autorits amricaines sen sont servis dans le cadre dune enqute ou mme des fins personnelles. De mme, pendant plus d’un an avant que la socit ne fasse l’objet d’un examen public, l’application avait t librement utilise par les investisseurs, les clients et les amis de la socit. Des personnes proches de Clearview ont utilis leur technologie de reconnaissance faciale lors de ftes, de runions d’affaires, etc. faisant des dmonstrations de son potentiel pour le plaisir ou l’utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.

Pour sa dfense, Hoan Ton-That, cofondateur de l’entreprise, a expliqu que des comptes d’essai ont t fournis des investisseurs potentiels et actuels, ainsi qu’ d’autres partenaires stratgiques, afin qu’ils puissent tester l’application.

Clearview tait inconnu du grand public jusqu’en janvier dernier 2020, lorsqu’il a t rapport que la start-up avait dvelopp un systme de reconnaissance faciale rvolutionnaire qui tait utilis par des centaines d’agences d’application de la loi.

La CNIL met en demeure CLEARVIEW AI, qui doit cesser la rutilisation de photographies accessibles sur internet

partir de mai 2020, la CNIL a reu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enqute. En mai 2021, lassociation Privacy International a galement alert la CNIL sur cette pratique.

Au cours de cette procdure, la CNIL a coopr avec ses homologues europens afin de partager le rsultat des investigations, chaque autorit tant comptente pour agir sur son propre territoire en raison de labsence dtablissement de la socit CLEARVIEW AI en Europe.

Les investigations menes par la CNIL ont permis de constater deux manquements au RGPD :

  1. un traitement illicite de donnes personnelles (manquement larticle 6 du RGPD) car leur collecte et lutilisation des donnes biomtriques seffectuent sans base lgale ;
  2. labsence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes daccs leurs donnes (articles 12, 15 et 17 du RGPD).

Un traitement illicite de donnes personnelles (manquement larticle 6 du RGPD)

Pour tre licite, un traitement de donnes personnelles doit reposer sur lune des bases lgales vises larticle 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette rgle, est donc illicite.

En effet, cette socit ne recueille pas le consentement des personnes concernes pour aspirer et utiliser leurs photographies afin dalimenter son logiciel.

Clearview AI ne dispose pas non plus dun intrt lgitime collecter et utiliser ces donnes, notamment au regard du caractre particulirement intrusif et massif du procd qui permet de rcuprer les images prsentes sur internet de plusieurs dizaines de millions dinternautes en France. Ces personnes, dont les photographies ou vidos sont accessibles sur divers sites web et des rseaux sociaux, ne sattendent raisonnablement pas ce que leurs images soient traites par la socit pour alimenter un systme de reconnaissance faciale pouvant tre utilis par des Etats des fins policires.

La gravit de ce manquement conduit la prsidente de la CNIL enjoindre Clearview AI de cesser, faute de base lgale, la collecte et lusage des donnes de personnes se trouvant sur le territoire franais, dans le cadre du fonctionnement du logiciel de reconnaissance faciale quelle commercialise.

Les droits des personnes non respects (articles 12, 15 et 17 du RGPD)

Les plaintes reues par la CNIL ont rvl les difficults rencontres par les plaignants pour exercer leurs droits auprs de la socit Clearview AI.

Dune part, la socit ne facilite pas lexercice du droit daccs des personnes concernes :

  • en limitant lexercice de ce droit aux donnes collectes durant les douze mois prcdant la demande ;
  • en restreignant lexercice de ce droit deux fois par an, sans justification ;
  • en ne rpondant certaines demandes qu lissue dun nombre excessif de demandes dune mme personne.

Dautre part, la socit ne rpond pas de manire effective aux demandes daccs et deffacement qui lui sont adresses. Elle fournit en effet des rponses partielles ou ne rpond pas du tout aux demandes.

En consquence, la prsidente de la CNIL a dcid de mettre la socit CLEARVIEW AI en demeure de :

  • cesser la collecte et lusage des donnes de personnes se trouvant sur le territoire franais en labsence de base lgale ;
  • faciliter lexercice des droits des personnes concernes et de faire droit aux demandes deffacement formules.

La socit CLEARVIEW AI disposait dun dlai de deux mois compter de dcembre 2021 pour respecter les injonctions formules dans la mise en demeure et en justifier auprs de la CNIL. Le gendarme franais du numrique a prvenu que si l’entreprise ne s’tait pas conforme l’issue de ce dlai, la prsidente de la CNIL aura la possibilit de saisir la formation restreinte de la CNIL qui pourrait prononcer une sanction, notamment pcuniaire.

1666311477 41 La CNIL condamne Clearview AI a verser une amende de

la suite dune mise en demeure reste sans rponse, la CNIL prononce une sanction de 20 millions deuros

Le dlai de cette mise en demeure est donc largement dpass et ce n’est que maintenant que la Cnil inflige au groupe une amende, savoir de 20 millions d’euros. La socit sest approprie plus de 20 milliards dimages travers le monde. Grce cette collecte, la socit commercialise laccs sa base dimages de personnes sous la forme dun moteur de recherche dans lequel un individu peut tre recherch laide dune photographie. La socit offre notamment ce service des forces de lordre, afin didentifier des auteurs ou des victimes dinfraction , explique la Cnil.

Cette sanction pcuniaire est assortie dune injonction de supprimer les donnes des Franais dj collectes, et de cesser toute nouvelle collecte sans base lgale. La socit a deux mois pour sexcuter, sous peine dune astreinte de 100 000 euros par jour de retard au-del.

1666311477 677 La CNIL condamne Clearview AI a verser une amende de

Des condamnations similaires en Europe et des poursuites en Amrique

L’Italie inflige une amende de 20 millions d’euros

Une enqute de Garante per la Protezione dei Dati Personali, l’autorit italienne de protection des donnes, a rvl que la base de donnes de 10 milliards d’images de visages de l’entreprise comprend celles d’Italiens et de rsidents en Italie. La socit base New York est condamne une amende de 20 millions d’euros et devra galement supprimer toute biomtrie faciale qu’elle dtient sur les ressortissants italiens.

Les conclusions ont rvl que les donnes personnelles dtenues par l’entreprise, y compris les donnes biomtriques et de golocalisation, sont traites illgalement, sans base lgale adquate, ce qui ne peut certainement pas tre l’intrt lgitime de l’entreprise amricaine , a dclar le Garante dans un communiqu.

Parmi les autres violations du rglement gnral sur la protection des donnes (RGPD) qu’il a identifies, citons les obligations de transparence (du fait que Clearview n’a pas suffisamment inform les utilisateurs de ce qu’il faisait avec leurs selfies) ; la violation de la limitation des finalits et utilisation des donnes des utilisateurs des fins autres que celles pour lesquelles elles ont t publies en ligne ; ainsi que des violations des rgles de conservation des donnes sans limites de stockage.

L’activit de Clearview AI viole donc les liberts des personnes concernes, y compris la protection de la confidentialit et le droit de ne pas tre discrimin , a galement dclar l’autorit.

Dans le communiqu de presse annonant la sanction, le Garante a galement not qu’il avait ordonn Clearview de dsigner un reprsentant dans l’UE afin de faciliter l’exercice des droits des personnes concernes – une autre exigence lgale en vertu du droit de l’UE qu’il a constat que l’entreprise n’avait pas remplie. Mais l’absence d’une entit Clearview base dans l’UE rend beaucoup plus difficile pour l’Italie de percevoir une amende.

Bien que le RGPD ait, sur le papier, une porte extraterritoriale (ce qui signifie qu’il s’applique en dehors du bloc toute personne traitant les donnes des citoyens de l’UE), l’application contre des entits trangres qui n’ont pas d’tablissements ou de dirigeants locaux qui infliger des sanctions peut constituer des limites pratiques strictes sur la porte de la loi.

Cela dit, les autorits de protection des donnes peuvent toujours s’en prendre toute entit locale cliente de l’entit sanctionne (comme l’a fait le gendarme sudois l’anne dernire, infligeant une amende une force de police locale pour ce qu’elle a qualifi d’utilisation illgale du logiciel de reconnaissance faciale de Clearview).

1666311478 444 La CNIL condamne Clearview AI a verser une amende de

Le Royaume-Uni condamne l’entreprise payer 17 millions de livres sterling

En novembre dernier, l’autorit britannique de protection des donnes a inflig une amende de 17 millions de livres sterling l’entreprise aprs avoir constat que ses pratiques, notamment la collecte de selfies de personnes sans leur consentement partir de squences de camras de scurit ou de photos, enfreignaient les lois nationales sur la protection des donnes. La socit a galement t interdite en Sude et en Australie.

La police belge s’est servi illgalement de Clearview AI et n’a pas obtenu de rsultats pertinents

Un rapport denqute du COC (lOrgane de contrle fdral charg de surveiller lusage de linformation policire en Belgique) confirme que des reprsentants des forces de lordre belge avaient bien eu recours, de manire exprimentale , au logiciel de reconnaissance faciale Clearview. L’affaire avait d’abord t dmentie, mais fin de l’anne dernire, une confirmation que la police fdrale avait bien men ce genre de missions de recherche a t faite.

Selon le COC, deux membres de la police judiciaire fdrale, attachs la DJSOC (Direction centrale de la lutte contre la criminalit grave et organise) avaient assist une prsentation de Clearview durant une taskforce dEuropol en 2019, linitiative du National Center of Missing and Exploited Children une organisation fonde par le Congrs amricain, avec laquelle collabore le FBI :

Lenqute interne a ainsi rvl que des membres de la DGJ/DJSOC, et plus prcisment du service Child Abuse, prennent part deux fois par an une taskforce oprationnelle dEuropol, la Victim Identification Taskforce. La taskforce sest runie physiquement en 2019 et sous forme virtuelle en 2020 (en prsence du FBI amricain). Cest dans ce cadre que des licences de test ont t mises par Europol la disposition des participants (et donc galement de deux membres de la

DJSOC). Selon le commissaire gnral, ces membres du personnel ont plusieurs reprises test/utilis lapplication sur des dossiers non belges durant la taskforce dEuropol et ( leur retour en Belgique) galement sur des dossiers du NCMEC amricain (le National Center for Missing and Exploited Children). Ils ont galement effectu des tests avec des photos deux-mmes et de collgues/connaissances. Selon le courrier du 22 septembre 2021, ces tests nont jamais dbouch sur des rsultats oprationnels (oprationnels au sens de pertinents dans le cadre dune information ). Selon Clearview, il aurait au total t procd 78 consultations et la dernire utilisation remonterait au 10 fvrier 2020. Le commissaire gnral confirmait dans ce courrier que lapplication ne serait pas utilise par la police fdrale aussi longtemps que le cadre lgal ne le permet pas et que, afin dviter tout incident similaire lavenir, il serait rappel tous les membres du personnel quune utilisation dapplications ou un traitement de donnes caractre personnel des fins professionnelles nest possible que moyennant le respect rigoureux des conditions prvues par la loi .

La situation en Allemagne…

Dans une affaire en Allemagne, l’agence de protection des donnes de Hambourg a ordonn Clearview AI de supprimer le hachage mathmatique reprsentant le profil d’un utilisateur aprs que celui-ci s’est plaint.

…Et en Amrique

Aux tats-Unis, Clearview AI a t poursuivie par l’American Civil Liberties Union dans l’tat de l’Illinois en 2020 pour avoir viol la loi sur la confidentialit des donnes biomtriques de l’Illinois. Les rsultats de cette action en justice ont contribu la dcision de l’entreprise de cesser de vendre son produit des entreprises prives amricaines. Mais les tourments ne s’arrtent pas l pour l’entreprise.

Clearview AI a galement fait l’objet de poursuites judiciaires dans le Vermont, New York et en Californie. Les plaintes dposes en mai 2021 allguent galement que les images et les mtadonnes collectes Clearview sont stockes sur les serveurs de Clearview AI indfiniment, mme aprs que la source de la donne a t supprime ou rendue prive.

En fvrier 2021, les commissaires la protection de la vie prive du Canada ont estim que l’extraction des visages par Clearview est “illgale” et cre un systme qui inflige un prjudice gnral tous les membres de la socit, qui se retrouvent continuellement dans une sance d’identification par la police .

Source : CNIL

Et vous ?

GPT 3 peut executer du code rechercher une valeur dans une L’entreprise a-t-elle raison lorsqu’elle affirme qu’elle n’enfreint pas la loi ?

GPT 3 peut executer du code rechercher une valeur dans une Que pensez-vous des amendes infliges par la CNIL franaise et ses homologues europens ?

GPT 3 peut executer du code rechercher une valeur dans une Comment pouvez-vous expliquer un tel retard dans la dcision de la CNIL ?

GPT 3 peut executer du code rechercher une valeur dans une Que pensez-vous de la dcision des gendarmes europens du numriques qui ont interdit les activits de Clearview AI sur leurs territoires ?

Voir aussi :

GPT 3 peut executer du code rechercher une valeur dans une La France somme Clearview AI, l’entreprise amricaine spcialise dans la reconnaissance faciale, de supprimer ses donnes, elle dispose d’un dlai de deux mois pour respecter les injonctions

We would like to give thanks to the writer of this article for this amazing material

La CNIL condamne Clearview AI verser une amende de 20 Ms , accusant le spcialiste de la reconnaissance faciale d’avoir viol le RGPD en collectant des donnes biomtriques sans consentement

Explore our social media profiles along with other pages related to themhttps://www.ai-magazine.com/related-pages/