Hier, la Commission Nationale de l'Informatique et des Libertés a mis en demeure la société Clearview AI de cesser la réutilisation de photographies et vidéos accessibles sur internet.
Précisons que le logiciel de reconnaissance faciale développé par la firme américaine utilise une base de données, qui se fonde sur des photographies et des vidéos trouvées sur Internet. Dans son communiqué publié sur son site, la Cnil précise que ce mode de fonctionnement lui aurait déjà permis de mettre la main sur plus d'une dizaine de milliards de contenus à travers le monde.
En substance, elle retient qu'il s'agit d'une collecte de données personnelles et biométriques qui s'effectue sans aucun fondement légal. Ce faisant, Clearview AI ne respecte pas les normes de base en matière de droit français et celles du RGPD. Ainsi, les personnes concernées -outre leur méconnaissance du système et leur défaut de consentement- ne peuvent pas accéder à leurs données ou encore demander leur destruction.
Précisons que la firme dispose de deux mois pour se mettre en conformité. A défaut, la présidente de la CNIL pourra saisir la formation restreinte de l'entité et prononcer une sanction, notamment pécuniaire, à son encontre.
Les investigations menées par la CNIL ont permis de constater deux manquements au RGPD :
- un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ; - l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).
En conséquence, la présidente de la CNIL a décidé de mettre la société CLEARVIEW AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ; - faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.
