En janvier 2020, un article du New York Times mettait un coup de projecteur sur une start-up nommée Clearview AI. Elle proposait un logiciel de reconnaissance faciale reposant sur une base d’images récoltées sur les médias sociaux (notamment Facebook et YouTube). Depuis sa naissance en 2016, la jeune pousse revendique une banque de plus de 10 milliards de visages enregistrés, ainsi que d’autres informations (noms, adresses,…). Son offre est ensuite vendue aux Etats pour les autorités judiciaires. Cette annonce avait provoqué l’émoi des défenseurs des données personnelles et des régulateurs, notamment européens. Aujourd’hui, la CNIL vient d’annoncer une mise en demeure de Clearview AI en lui laissant deux mois pour cesser ses pratiques.

La Commission a été saisie en mai 2021 par l’ONG Privacy International, qui a aussi porté plainte dans d’autres pays européens (Royaume-Uni, Autriche, Grèce et Italie). Elle reproche à la start-up des manquements au RGPD. La Cnil a donc mené une enquête en coopération avec ses homologues européens et a constaté des irrégularités par rapport au RGPD.

Absence de consentement et droit d’effacement limité

Dans sa lettre de mise en demeure, elle estime que la société mène un traitement illicite des données personnelles au titre de l’article 6 du RGPD. Pour la Cnil, la collecte des données biométriques se déroule sans base légale. Mais plus encore, il y a une absence totale du consentement des personnes. Le régulateur estime que Clearview AI a récupéré « les images présentes sur internet de plusieurs dizaines de millions d’internautes en France ».

Autre point soulevé par la Commission, l’incapacité pour les personnes d’exercer leurs droits auprès de Clearview AI (art 12, 15 et 17 du RGPD). En effet, la société américaine limite ces droits « aux données collectées à 12 mois précédent la demande, deux fois par an et sans justification ». La Cnil constate par ailleurs que les réponses de la société interviennent après « un nombre excessif » de sollicitations d’une même personne. Et encore, les réponses sont parfois incomplètes ou nulles sur les demandes d’effacement des données. Au terme des 2 mois de mise en demeure, les sages de la place de Fontenoy feront un point sur le respect des injonctions demandées à Clearview AI. En cas de persistance des faits, la Cnil pourra être amenée à prononcer une sanction notamment pécuniaire.