Actualités

La CNIL sanctionne la société américaine CLEARVIEW AI d’une amende de 20 millions d’euros dans une délibération du 17 octobre 2022.

La société CLEARVIEW AI collecte des photographies provenant de sites web, y compris les réseaux sociaux, consultables sans connexion à un compte. Plus de 20 milliards d’images ont été extraites dans le monde et la société commercialise l’accès à sa base qui permet la recherche à l’aide d’une photographie grâce à une technologie de reconnaissance faciale utilisant des données biométriques.

Saisie de plaintes, la CNIL a mis en demeure la société de cesser la collecte et l’usage des données des personnes se trouvant en France effectués sans base légale, de faciliter l’exercice des droits des personnes concernées et de faire droit à leur demande d’accès et d’effacement.

La CNIL a constaté que CLEARVIEW AI :

● ne recueillait pas le consentement des personnes concernées,
● ne disposait pas d’un intérêt légitime à collecter et utiliser ces données au regard du caractère particulièrement intrusif et massif du procédé de collecte des images (d’autant plus que les personnes ne pouvaient s’attendre à ce que leurs images soient utilisées pour alimenter un système de reconnaissance faciale).
● ne facilitait pas l’exercice du droit d’accès des personnes (limitation aux données des 12 derniers mois précédant la demandant, possibilité d’exercer ce droit seulement deux fois par an, en ne répondant que rarement au demandes),
● ne répondait pas, ou de manière partielle, aux demandes d’accès et d’effacement
● n’a pas coopéré avec les services de la CNIL ; la société n’ayant présenté aucune observation en défense.

La formation restreinte de la CNIL a prononcé une sanction de 20 millions d’euros assortie d’une injonction de cesser, dans un délai de deux mois, la collecte et le traitement des données des personnes concernées assortie d’une astreinte de 100 000 euros par jour de retard au-delà de ce délai.

Reste à savoir comment la CNIL fera exécuter cette décision à l’encontre d’une société américaine, qui traite aux USA des données accessibles aux USA, avec des moyens situés aux USA…