Près de deux ans après le début de l’affaire Clearview AI, la Cnil descend dans l’arène. L’affaire ne sera pas simple pour l’autorité française, qui brandit une sanction pécuniaire si son injonction n’est pas respectée.

Le ciel s’assombrit pour Clearview AI en France. La Commission nationale de l’informatique et des libertés (Cnil) vient de prendre la parole ce jeudi 16 décembre 2021 pour annoncer la mise en demeure de l’entreprise américaine, avec une exigence : que l’entreprise spécialisée dans la reconnaissance faciale cesse d’aspirer les photos et les vidéos qu’elle trouve librement sur le net.

L’autorité française déclare laisser deux mois à Clearview AI pour qu’elle stoppe sa collecte. Évidemment, l’instance réclame aussi la fin de l’exploitation des contenus qui ont été déjà recueillis depuis que la société a démarré le « scraping » de tout ce qui est public. Pour en finir une bonne fois pour toutes, l’instance enjoint le groupe américain à tout supprimer.

La Cnil avertit Clearview : cessez d’aspirer toutes les photos du net, sinon ça va barder
Clearview prétend qu’il faut un mail lié à une agence des forces de l’ordre pour accéder à son logiciel. // Source : Capture d’écran du site de Clearview

Le « scraping » est une formulation pour désigner un procédé de collecte de données sur une page web, grâce à un script — soit un programme conçu pour exécuter une tâche. En l’espèce, le programme utilisé par Clearview AI vise à automatiser la prise des photos que son outil croise, plutôt que de faire ça à la main. Ce qui montre tout l’intérêt de régler si possible ses comptes en « privé ».

Reconnaissance faciale

Cette technique biométrique repose sur l’analyse des traits et de la forme du visage pour reconnaître un individu. Clearview est accusée d’avoir entraîné son algorithme en ayant passé à la moulinette des milliards de clichés.

Pour qui n’a pas entendu parler de Clearview AI, il s’agit d’une startup dont les activités ont été mises en lumière par le New York Times. Il a été montré que la société a capté plus de trois milliards de photographies sur le web dans le but de muscler ses algorithmes pour la reconnaissance faciale. Objectif : fournir ensuite une solution aux forces de l’ordre (mais pas que).

C’était en février 2020. Depuis lors, des actions en justice ont commencé à émerger outre-Atlantique. Twitter est également descendu dans l’arène, dans la mesure où il a été observé que Clearview AI a aussi plongé dans les pages du réseau social (qui est par essence essentiellement public). L’affaire a aussi pris un tour plus politique, avec des membres du Congrès qui s’en sont emparés.

La pression croissante sur les épaules de Clearview AI n’a pour l’instant pas été de nature à lui faire arrêter ses opérations — et cela, alors que d’autres péripéties sont venues entacher un peu plus son image, à l’image du vol de la liste de ses clients ou de sa proximité avec le milieu conservateur, mais aussi des pistes envisagées par ses brevets ou ses nouvelles idées.

La Cnil brandit la menace de la sanction contre Clearview AI

En France, la Cnil a été alertée par des plaintes qui ont commencé à affluer dès le mois de mai 2020. Un an plus tard, c’est au tour de l’ONG Privacy International d’intervenir, en lançant plusieurs actions en Europe. Ainsi au niveau de l’Hexagone, l’association a alerté la Cnil. C’est finalement presque deux ans après l’explosion de l’affaire que la Cnil passe à l’action.

La Commission a relevé deux infractions au Règlement général sur la protection des données (RGPD) :

La première est un traitement illicite de données personnelles (à aucun moment, Clearview AI ne demande l’autorisation des personnes pour prendre et explorer les photos les concernant) et la seconde est le dédain envers les droits des personnes (Clearview AI ne donne pas vraiment suite aux demandes de suppression, ou même ne répond pas du tout).

La Cnil avertit Clearview : cessez d’aspirer toutes les photos du net, sinon ça va barder
La reconnaissance faciale se base sur les caractéristiques du visage pour fonctionner. // Source : Matrix

Il est important de comprendre qu’une ressource qui est accessible publiquement n’est pas toujours une donnée publique. Ce qui est disponible à la vue de tout le monde peut être une donnée personnelle, voire sensible. Or dans ce cas, la loi s’applique. Il n’est pas possible de s’abriter derrière l’argument disant que telle ou telle image traînait sur le web.

Que va-t-il se passer au bout des deux mois ?

Si Clearview AI ne donne pas suite aux injonctions de la Cnil, celle-ci pourra adopter une posture plus offensive encore — même si l’affaire sera rendue plus difficile du fait de l’établissement en dehors de l’Union européenne de Clearview AI. Cette posture pourrait déboucher sur une sanction pécuniaire. Vu l’ampleur des faits, la peine pourrait atteindre des sommets.