La Cnil prononce une sanction de 20 millions d’euros contre la société américaine Clearview AI, qui aspire toutes les photos d’individus qu’elle trouve sur le net pour nourrir son système de reconnaissance faciale.

Clearview AI a été avertie, mais n’a rien écouté. Surtout, elle n’a jamais vraiment daigné répondre à la Commission nationale de l’informatique et des libertés (Cnil). Tant pis : ce silence n’a pas retenu le bras l’autorité française de protection des données pour frapper cette société américaine dédiée à la reconnaissance faciale, ce jeudi 20 octobre 2022.

Le coup porté est rude. La Cnil prononce ce jour une sanction de 20 millions d’euros, qui est le montant maximal qu’elle peut prononcer contre Clearview AI. Certes, la loi lui permet aussi de prononcer une peine calibrée sur le chiffre d’affaires (4 %, selon le RGPD), mais Clearview AI ne publie pas ses comptes, ce qui prive la Cnil de ce levier.

Depuis 2020, Clearview fait l’objet d’une couverture médiatique importante, car il a été découvert que ses activités l’amenaient à aspirer toutes les photos qu’elle trouve sur le net pour entraîner ses algorithmes de reconnaissance faciale. Sa base de données contiendrait plus de 30 milliards de photos (10 de plus que l’estimation de la Cnil), avec un ciblage précis à plus de 99 %.

Cette pratique a un nom : le scrapping. Il s’agit d’automatiser la collecte grâce à un script, sur toutes les pages accessible publiquement — comme un compte sur Facebook mal configuré. Naturellement, tout cela se fait sans l’accord des individus, et souvent en infraction avec les règles des sites web, qui s’opposent à l’usage de ce genre de programme.

« Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites pour adultes ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte », écrit la Cnil. Tout le reste y passe : réseaux sociaux, sites professionnels, blogs, sites, extraits de YouTube…

Des condamnations un peu partout, et maintenant en France

Ce comportement a déjà engendré d’autres condamnations dans le monde : en Grèce, en Italie, en Australie, au Royaume-Uni. D’ailleurs, la Cnil a coopéré avec ses homologues sur le Vieux Continent pour « partager le résultat des investigations ». La Grèce et l’Italie ont prononcé des peines de 20 millions d’euros, tandis que le Royaume-Uni a infligé une amende d’un peu moins de 9 millions.

L’analyse de la Cnil a fait émerger plusieurs infractions au RGPD : traitement illicite de données personnelles, droits des personnes non respectés, absence de coopération avec les services de la Cnil. Le tout, d’ailleurs, sur des données particulièrement sensibles : ce sont des informations biométriques qui sont en jeu, ici.

Une illustration de la reconnaissance faciale de Facebook // Source : Facebook
Souriez, ne souriez pas, toujours est-il que vous êtes peut-être dans la base de données biométrique de Clearview AI. // Source : Facebook

La reconnaissance faciale est une méthode biométrique reposant sur l’analyse des traits et de la forme du visage pour reconnaître un individu. De ce fait, la biométrie est une catégorie à part dans les données personnelles, bénéficiant d’un niveau accru de protection, au même titre que les informations génétiques, l’orientation sexuelle, les croyances religieuses, ou bien les infractions pénales.

Des données sensibles, des infractions au RGPD, une mise en demeure de la Cnil ignorée par Clearview AI, une trop faible coopération avec l’autorité et des pratiques litigieuses qui persistent… les ingrédients inévitables d’un cocktail explosif. L’entreprise américaine a toutefois l’opportunité de faire appel devant le Conseil d’État dans un délai de quatre mois.

Dans l’intervalle, la Cnil a réitéré son injonction : Clearview AI doit « cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées ». Elle a deux mois pour s’exécuter. Sinon, la Cnil ajoutera une pénalité de 100 000 euros par jour de retard.