Discussion :

[Bill Fassinou]

Clearview AI fait l'objet de plaintes en justice en France et dans d'autres pays de l'UE pour sa collecte controversée de visages,
cela violerait les lois européennes sur la protection des données

En Europe, des voix s'érigent contre les méthodes de collecte de données de la startup d'intelligence artificielle Clearview AI. Privacy International (PI) et de nombreuses autres organisations européennes de défense de la vie privée et des droits numériques ont annoncé aujourd'hui qu'elles avaient déposé des plaintes contre la société. Les plaintes allèguent que la méthode de documentation et de collecte de données de la société – y compris les images de visages qu'elle extrait automatiquement des sites Web publics – viole les lois européennes sur la protection de la vie privée.

Une entreprise vivant de l'extraction de données privées en ligne

Clearview AI est une startup travaillant dans le domaine de l'intelligence artificielle qui a mis au point Clearview, une application de reconnaissance faciale. Elle décrit son application comme un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels », indique la description de l'application de reconnaissance faciale de Clearview AI. Son fonctionnement est simple.

Selon l'entreprise, il suffit de prendre une photo d'une personne, de la télécharger dans Clearview et vous verrez ensuite des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuierait sur une base de données de plus de trois milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web. Mais les techniques de l'entreprise sont de plus en plus décriées. La méthode de collecte de données de Clearview AI a déjà fait l'objet de nombreuses controverses au début de l'année aux États-Unis.

Ces controverses font suite à l'utilisation de la technologie de reconnaissance faciale de la société par les forces de l'ordre pour traquer les émeutiers du Capitale. Mais dans les prochains mois, la société fait désormais face à une opposition plus sérieuse en Europe. Des groupes de défense de la vie privée et des droits numériques ont déposé des plaintes au Royaume-Uni, en France, en Autriche, en Grèce et en Italie contre Clearview AI. Ils affirment que sa base de données de profils biométriques récupérée et consultable enfreint le règlement général sur la protection des données (RGPD) de l'UE et du Royaume-Uni.

Parmi les organisations plaignantes, l'on retrouve PI, NYOB, Hermes Center for Transparency and Digital Human Rights et Homo Digitalis. Elles affirment toutes que la collecte de données par Clearview va au-delà de ce à quoi l'utilisateur moyen s'attendrait en utilisant des services comme Instagram, LinkedIn ou YouTube. « Extraire nos caractéristiques faciales uniques ou même les partager avec la police et d'autres entreprises va bien au-delà de ce que nous ne pourrions jamais attendre en tant qu'utilisateurs en ligne », a déclaré Ioannis Kouvakas, responsable juridique de PI, dans une déclaration commune.

L'opposition à la méthode de collecte d'informations de Clearview AI s'est renforcée ces dernières années et a même atteint les rangs des entreprises dont elle exploite les plateformes. L'année dernière, Google, Twitter, Facebook et Venmo ont tous envoyé des lettres de cessation et d'abstention à Clearview AI pour lui demander de cesser de récupérer les photos des personnes sur leurs sites Web.

À l'époque, le PDG de l'entreprise a défendu son modèle économique en déclarant : « Google peut extraire des informations de tous les sites Web. Donc, si une information est publique, qu'elle existe et qu'elle peut se trouver dans le moteur de recherche de Google, elle peut aussi se trouver dans le nôtre ».

Une entreprise peut-elle survivre avec ce modèle économique ?

Clearview AI utilise un récupérateur d'images pour collecter automatiquement les photos de visages accessibles au public sur les médias sociaux et d'autres sites Web afin de constituer sa base de données biométriques. Elle vend ensuite l'accès à cette base de données – et la capacité d'identifier des personnes – aux entités chargées de faire respecter la loi et à des entreprises privées. La légalité de l'approche adoptée par Clearview AI pour construire son service de reconnaissance faciale fait l'objet d'un certain nombre de contestations juridiques dans le monde. Toutefois, l'entreprise estime qu'elle est dans le juste.

En 2020, les autorités britanniques et australiennes ont ouvert une enquête sur la protection de la vie privée concernant les moyens d'extraction de données utilisées par la société. En février, les commissaires à la protection de la vie privée du Canada ont estimé que l'extraction des visages par Clearview est "illégale" et crée un système qui « inflige un préjudice général à tous les membres de la société, qui se retrouvent continuellement dans une séance d'identification par la police ». La police suédoise a déjà été condamnée à une amende par le régulateur des données du pays pour avoir utilisé les offres de Clearview AI.

Dans une affaire en Allemagne, l'agence de protection des données de Hambourg a ordonné à Clearview AI de supprimer le hachage mathématique représentant le profil d'un utilisateur après que celui-ci s'est plaint. Aux États-Unis, Clearview AI a été poursuivie par l'American Civil Liberties Union dans l'État de l'Illinois en 2020 pour avoir violé la loi sur la confidentialité des données biométriques de l'Illinois. Les résultats de cette action en justice ont contribué à la décision de l'entreprise de cesser de vendre son produit à des entreprises privées américaines. Mais les tourments ne s'arrêtent pas là pour l'entreprise.

Clearview AI a également fait l'objet de poursuites judiciaires dans le Vermont, à New York et en Californie. Les plaintes déposées aujourd'hui allèguent également que les images et les métadonnées collectées Clearview sont stockées sur les serveurs de Clearview AI indéfiniment, même après que la source de la donnée a été supprimée ou rendue privée.

Les organismes de surveillance de la vie privée ont déclaré que les régulateurs nationaux (l'ICO au Royaume-Uni, la CNIL en France, etc.) ont trois mois pour répondre à leurs plaintes. Dans l'intervalle, vous pouvez demander à recevoir toutes les données que Clearview AI pourrait détenir sur vous par le biais de l'e-mail et des formulaires fournis sur son site et demander que votre visage soit supprimé des recherches de clients.

Sources : Privacy International, Plainte déposée au Royaume-Uni (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, Clearview AI doit-il être interdit en France, en Europe ou partout ailleurs ?
Pensez-vous qu'un tel modèle économique est le bienvenu à l'heure où la vie privée est une denrée très recherchée ?

Voir aussi

L'utilisation de la technologie de reconnaissance faciale de Clearview AI a augmenté de 26 % après le siège du Capitole, les forces de l'ordre s'en servent pour traquer les émeutiers

Clearview AI utilise vos photos en ligne pour vous identifier instantanément, c'est un problème, d'après un procès intenté par des militants des libertés civiles

« J'ai obtenu mon profil auprès de Clearview AI et ça m'a fait peur », a déclaré Thomas Smith, dont le profil contient des articles, des images, des URL, des pages de réseaux sociaux et autres

Apple a désactivé l'application iPhone de Clearview AI pour avoir enfreint les règles sur la distribution, en encourageant le téléchargement par le biais du programme Apple Developer Enterprise

[kain_tn]

« La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels », indique la description de l'application de reconnaissance faciale de Clearview AI.

Ahlala. Toujours la même rengaine pour justifier les pires idées totalitaires. Bizarrement ce n'est jamais "nous vendrons nos services aux pires dictatures du monde sans aucun scrupule pour leur permettre de traquer, arrêter et éliminer les opposants politiques". Ça ne serait pas vendeur...

Toutefois, l'entreprise estime qu'elle est dans le juste.

Ah ben ils seraient bien bêtes de dire le contraire: "Alors en fait on est pas sûrs que notre business soit éthique ni même légal"

Selon vous, Clearview AI doit-il être interdit en France, en Europe ou partout ailleurs ?

Oui.

Pensez-vous qu'un tel modèle économique est le bienvenu à l'heure où la vie privée est une denrée très recherchée ?

Non. Dans un monde juste, ça devrait même être condamnable.

[Bill Fassinou]

Clearview AI a reçu l'ordre de supprimer toutes les données de reconnaissance faciale appartenant à des Australiens
l'entreprise aurait violé la loi australienne sur la protection de la vie privée

L'Australie a accusé cette semaine l'entreprise américaine de logiciels de reconnaissance faciale Clearview AI d'avoir enfreint la loi sur la protection de la vie privée en vigueur dans le pays, en collectant secrètement les données biométriques des citoyens et en les incorporant dans son service de comparaison d'identité alimenté par l'IA - qu'elle vend notamment aux organismes chargés de l'application de la loi. Ainsi, un régulateur australien a ordonné à Clearview AI de cesser de collecter des images sur des sites Web et de détruire les données recueillies jusqu'à présent sur les Australiens.

Clearview AI est une entreprise travaillant dans le domaine de l'intelligence artificielle qui a mis au point Clearview, une application de reconnaissance faciale. Elle décrit son application comme un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crime. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels », indique la description de l'application de reconnaissance faciale de Clearview AI. Son fonctionnement est simple.

Selon l'entreprise, il suffit de prendre une photo d'une personne, de la télécharger dans Clearview et vous verrez ensuite des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuierait sur une base de données de plus de 10 milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web. Mais les techniques de l'entreprise sont de plus en plus décriées. La méthode de collecte de données de Clearview AI a déjà fait l'objet de nombreuses controverses au cours de ces trois dernières années.

En février dernier, les régulateurs canadiens ont déclaré que l'extraction des visages par Clearview est "illégale" et crée un système qui « inflige un préjudice général à tous les membres de la société, qui se retrouvent continuellement dans une séance d'identification par la police ». La police suédoise a déjà été condamnée à une amende par le régulateur des données du pays pour avoir utilisé les offres de Clearview AI. En 2020, les autorités australiennes ont ouvert une enquête sur la protection de la vie privée concernant les moyens d'extraction de données utilisées par la société.

La technologie de Clearview AI a été testée par la police fédérale australienne (AFP) entre octobre 2019 et mars 2020. Ainsi, après le Canada, c'est au tour de l'Australie de constater que Clearview AI a enfreint les lois nationales sur la protection de la vie privée. Dans une déclaration faite aujourd'hui, la commissaire à l'information et à la protection de la vie privée d'Australie (OAIC), Angelene Falk, a déclaré que l'outil de reconnaissance faciale de Clearview AI avait enfreint la loi de 1988 sur la protection de la vie privée du pays qui sanctionne les comportements suivants :

• collecte des informations sensibles des Australiens sans leur consentement ;
• collecte des informations personnelles par des moyens déloyaux ;
• ne pas prendre de mesures raisonnables pour informer les personnes de la collecte d'informations personnelles ;
• ne pas prendre des mesures raisonnables pour s'assurer que les informations personnelles qu'il a divulguées étaient exactes, compte tenu du but de la divulgation ;
• ne pas prendre des mesures raisonnables pour mettre en œuvre des pratiques, des procédures et des systèmes pour assurer la conformité aux principes australiens de protection de la vie privée.

« La collecte secrète de ce type d'informations sensibles est déraisonnablement intrusive et injuste. Elle comporte un risque important de préjudice pour les personnes, y compris les groupes vulnérables tels que les enfants et les victimes de crimes, dont les images peuvent être recherchées dans la base de données de Clearview AI. Lorsque les Australiens utilisent les médias sociaux ou les sites de réseautage professionnel, ils ne s'attendent pas à ce que leurs images faciales soient collectées sans leur consentement par une entité commerciale afin de créer des modèles biométriques à des fins d'identification totalement étrangères », a déclaré Falk.

« Le grattage aveugle des images faciales des gens, dont seule une fraction serait peut-être liée à des enquêtes des forces de l'ordre, peut avoir un impact négatif sur les libertés personnelles de tous les Australiens qui se perçoivent comme étant sous surveillance », a-t-elle poursuivi. Dans ce qui semble être une victoire majeure pour la protection de la vie privée en Australie, le régulateur a ordonné à Clearview de cesser de collecter les données biométriques faciales et les modèles biométriques des Australiens et de détruire toutes les images et tous les modèles existants qu'elle détient.

L'enquête de l'OAIC sur les pratiques de Clearview a été menée conjointement avec l'Information Commissioner's Office (ICO) du Royaume-Uni. Toutefois, l'ICO n'a pas encore pris de décision quant à la légalité du travail de Clearview au Royaume-Uni. L'ICO indique qu'il "étudie les prochaines étapes et toute action réglementaire formelle qui pourraient être appropriées en vertu des lois britanniques sur la protection des données". De son côté, Clearview AI a l'intention de faire appel de la décision. « Clearview AI opère légitimement selon les lois de ses lieux d'activité », a déclaré Mark Love, un avocat du cabinet BAL Lawyers représentant Clearview.

« Non seulement la décision de la commissaire montre qu'elle n'a pas compris le mode de fonctionnement de Clearview AI, mais elle n'est pas compétente. Clearview AI n'a violé aucune loi et n'a pas porté atteinte à la vie privée des Australiens. Clearview AI ne fait pas d'affaires en Australie (et) n'a pas d'utilisateurs australiens », a déclaré Love dans un courriel. En outre, Clearview AI fait valoir que les images qu'elle a collectées étaient accessibles au public.

Ainsi, selon l'entreprise, il n'y a pas eu de violation de la vie privée et qu'elles ont été publiées aux États-Unis, de sorte que la loi australienne ne s'applique pas. Partout dans le monde, cependant, la propagation des systèmes de reconnaissance faciale, qui menacent de supprimer l'anonymat dans les espaces publics, suscite un mécontentement croissant.

Mardi, Meta, la société mère de Facebook, a annoncé qu'elle fermait le système de reconnaissance faciale de la plateforme sociale et supprimait les modèles de visage qu'elle avait créés pour le système. La société a invoqué "des préoccupations croissantes concernant l'utilisation de cette technologie dans son ensemble". Meta a également payé récemment un règlement de 650 millions de dollars après que la technologie a été jugée comme ayant violé les lois sur la vie privée dans l'Illinois aux États-Unis.

Source : Australian Information Commissioner (OAIC)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du modèle économique de Clearview AI ?
L'entreprise a-t-elle raison lorsqu'elle affirme qu'elle n'enfreint pas la loi ?
Que pensez-vous de la décision des régulateurs australiens ?
Peut-elle s'appliquer alors que Clearview AI est enregistré aux États-Unis ?

Voir aussi

L'utilisation de la technologie de reconnaissance faciale de Clearview AI a augmenté de 26 % après le siège du Capitole, les forces de l'ordre s'en servent pour traquer les émeutiers

Clearview AI fait l'objet de plaintes en justice en France et dans d'autres pays de l'UE pour sa collecte controversée de visages, cela violerait les lois européennes sur la protection des données

Clearview AI utilise vos photos en ligne pour vous identifier instantanément. C'est un problème, d'après un procès intenté par des militants des libertés civiles

La présence des insurgés du Capitole sur les médias sociaux permet au gouvernement fédéral de les identifier facilement, alors que la police locale et le FBI recherchent des informations sur eux

[kain_tn]

Quel est votre avis sur le sujet ?

Il n'a pas changé depuis la dernière fois: c'est une entreprise absolument abjecte, qui vole les données personnelles.

Que pensez-vous du modèle économique de Clearview AI ?

Écœurant. Des gens sans vergogne qui sous couvert de lutte contre la criminalité:

• Considèrent que tout le monde est coupable (puisque tous fichés)
• Agrègent des données considérables sur tout le monde - données qui finiront par fuiter

Et puis la notion de "criminel" c'est subjectif: sous un régime autoritaire, certains actes légitimes ailleurs sont criminels et sévèrement punis.

L'entreprise a-t-elle raison lorsqu'elle affirme qu'elle n'enfreint pas la loi ?

Non. Elle parle de la loi Américaine, et se fout du reste du monde.

Que pensez-vous de la décision des régulateurs australiens ?

Ils vont dans le sens de leurs concitoyens et c'est tant mieux. Espérons que ces raclures de chez Clearview seront déboutés aussi pour leur appel.

Peut-elle s'appliquer alors que Clearview AI est enregistré aux États-Unis ?

La loi des USA s'applique bien au reste du monde, alors pourquoi pas le contraire???

[rbolan]

Si j'ai bien compris (mais pas sûr) Clearview AI possède des photos et des moyens d'identifications de citoyens australiens, mais considère que ça ne pose pas de problèmes juridiques, tant qu'elle n'a pas de client australien et que son logiciel n'est pas utilisé en Australie, mais dans un autre pays ?

[Bruno]

La France somme Clearview AI, l'entreprise américaine spécialisée dans la reconnaissance faciale, de supprimer ses données,
elle dispose d’un délai de deux mois pour respecter les injonctions

Clearview QI est une entreprise américaine spécialisée dans la reconnaissance faciale. Elle fournit un logiciel basé sur une technologie qu'elle développe, permettant de rechercher un visage dans une base de données de plus de trois milliards d'images, obtenues via web scraping sur Internet et notamment sur les réseaux sociaux. L'entreprise a fait l'objet de diverses enquêtes depuis 2020, notamment autour de la menace qu'elle fait peser sur la vie privée, suscitant plusieurs controverses. La France à ordonner à Clearview AI de supprimer ses données. Cependant certaines critiques reprochent à la France d’avoir mis assez de temps pour le faire.

Clearview AI fait l'objet de plaintes en justice en France et dans d'autres pays de l'UE pour sa collecte controversée de visages. Des voix s'érigent contre les méthodes de collecte de données de la startup d'intelligence artificielle. Privacy International (PI) et de nombreuses autres organisations européennes de défense de la vie privée et des droits numériques ont annoncé qu'elles avaient déposé des plaintes contre la société. Les plaintes allèguent que la méthode de documentation et de collecte de données de la société, y compris les images de visages qu'elle extrait automatiquement des sites Web publics viole les lois européennes sur la protection de la vie privée.

La France vient d'ordonner à Clearview AI de supprimer ses données. L'organisme français de protection de la vie privée, CNIL, (Commission nationale de l'informatique et des libertés) a déclaré que Clearview avait enfreint le règlement général européen sur la protection des données (RGPD). « La société CLEARVIEW AI a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet. La présidente de la CNIL l’a mise en demeure de cesser ce traitement illicite et de supprimer les données dans un délai de 2 mois », peut-on lire sur le site officiel de la CNIL.

Le mois dernier, l'Australie a sommé Clearview AI de supprimer toutes les données de reconnaissance faciale appartenant à des Australiens. L'Australie accuse l'entreprise américaine de logiciels de reconnaissance faciale Clearview AI d'avoir enfreint la loi sur la protection de la vie privée en vigueur dans le pays, en collectant secrètement les données biométriques des citoyens et en les incorporant dans son service de comparaison d'identité alimenté par l'IA qu'elle vend notamment aux organismes chargés de l'application de la loi. Ainsi, un régulateur australien a ordonné à Clearview AI de cesser de collecter des images sur des sites Web et de détruire les données recueillies jusqu'à présent sur les Australiens.

La technologie de Clearview AI a été testée par la police fédérale australienne (AFP) entre octobre 2019 et mars 2020. Ainsi, après le Canada et l’Australie, c'est au tour de la France de constater que Clearview AI a enfreint les lois sur la protection de la vie privée. Dans une déclaration faite le 16 décembre, la CNIL a déclaré qu’à partir de mai 2020, elle a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.

Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société CLEARVIEW AI en Europe. La CNIL pointe du doigt deux manquements au RGPD de la part de la société spécialisée dans la reconnaissance faciale.

1. Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
2. l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).

En conséquence, la présidente de la CNIL a décidé de mettre la société CLEARVIEW AI en demeure de :

• cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
• faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.

La société CLEARVIEW AI dispose d’un délai de deux mois pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Si, à l’issue de ce délai, elle ne s’est pas conformée, la présidente de la CNIL aura la possibilité de saisir la formation restreinte de la CNIL qui pourra prononcer une sanction, notamment pécuniaire.

CLEARVIEW AI déclare qu’elle ne vend son logiciel qu'aux forces de l'ordre, afin d'aider à la résolution d'affaires telles que des abus sexuels sur mineurs, par exemple. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels », indique la description de l'application de reconnaissance faciale de Clearview AI. Selon l'entreprise, son fonctionnement serait simple. Il suffit de prendre une photo d'une personne, de la télécharger dans Clearview et vous verrez ensuite des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues.

Le système s'appuierait sur une base de données de plus de 10 milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web. Mais les techniques de l'entreprise sont de plus en plus décriées.

L’affaire ne sera pas simple pour l’autorité française, qui brandit une sanction pécuniaire si son injonction n’est pas respectée. La société américaine n'est pas établie dans l'Union européenne, ce qui signifie que ses activités sont susceptibles de faire l'objet d'une action réglementaire dans toute l'UE, par n'importe quel contrôleur de la protection des données du bloc. Ainsi, bien que l'ordonnance de la CNIL ne s'applique qu'aux données qu'elle détient sur des personnes provenant de territoires français, ce qui, selon la CNIL, couvre plusieurs dizaines de millions d'internautes d'autres ordonnances de ce type sont susceptibles d'émaner d'autres agences de l'UE.

La violation du RGPD s'explique par le fait que Clearview n'obtient pas le consentement des personnes pour utiliser leurs données biométriques faciales, et ne peut pas non plus s'appuyer sur une base légale d'intérêt légitime pour collecter et utiliser ces données. « Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites internet et réseaux sociaux, ne s'attendraient pas raisonnablement à ce que leurs images soient traitées par Clearview AI pour alimenter un système de reconnaissance faciale pouvant être utilisé par des États à des fins policières », écrit la CNIL.

Dans une déclaration attribuée au PDG et fondateur Hoan Ton-That, Clearview aurait indiqué que la société n'est pas soumise au RGPD, bien que le règlement ait une portée extraterritoriale, ce qui signifie qu'il est applicable et (du moins en théorie) exécutoire en dehors des frontières de l'UE dans les cas où les données des personnes de l'UE ont été traitées en violation des règles.

Voici, ci-dessous, la déclaration de Clearview : « Clearview AI n'a pas d'établissement en France ou dans l'UE, elle n'a pas de clients en France ou dans l'UE, et n'entreprend aucune activité qui signifierait autrement qu'elle est soumise au GDPR ».

« J'ai grandi en Australie et j'ai longtemps considéré la France comme une capitale mondiale de la beauté et de l'excellence. J'ai un profond respect pour le pays et ses habitants. J'ai créé la technologie conséquente de reconnaissance faciale connue dans le monde entier dans le but de contribuer à rendre les communautés plus sûres et d'aider les forces de l'ordre à résoudre les crimes odieux commis contre les enfants, les personnes âgées et les autres victimes d'actes sans scrupules. Nous ne collectons que des données publiques provenant de l'internet ouvert et nous nous conformons à toutes les normes de confidentialité et de droit. J'ai le cœur brisé par la mauvaise interprétation par certains en France. Mes intentions et celles de ma société ont toujours été d'aider les communautés et leurs habitants à vivre mieux et en toute sécurité. »

Source : CNIL

Et vous ?

Que pensez-vous de cette injonction de la France à CLEARVIEW AI ?

Selon certains observateurs, la France aurait attendu très longtemps pour réagir, quel est votre avis ?

« J'ai un profond respect pour la France et ses habitants. J'ai créé la technologie de reconnaissance faciale dans le but de contribuer à rendre les communautés plus sûres et d'aider les forces de l'ordre à résoudre les crimes odieux... », que vous suggère ce commentaire du PDG de CLEARVIEW AI ?

Voir aussi :

Clearview AI a reçu l'ordre de supprimer toutes les données de reconnaissance faciale appartenant à des Australiens, l'entreprise aurait violé la loi australienne sur la protection de la vie privée

Clearview AI fait l'objet de plaintes en justice en France et dans d'autres pays de l'UE pour sa collecte controversée de visages, cela violerait les lois européennes sur la protection des données

Clearview AI utilise vos photos en ligne pour vous identifier instantanément, c'est un problème, d'après un procès intenté par des militants des libertés civiles

« J'ai obtenu mon profil auprès de Clearview AI et ça m'a fait peur », a déclaré Thomas Smith, dont le profil contient des articles, des images, des URL, des pages de réseaux sociaux et autres

[balhrog]

une base de données de plus de trois milliards d'images

la CNIL a déclaré qu’à partir de mai 2020, elle a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.

La CNIL pointe du doigt deux manquements au RGPD de la part de la société spécialisée dans la reconnaissance faciale.

Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).

Ils avaient quoi de mieux à faire pendant 1 an?

[AoCannaille]

Ils avaient quoi de mieux à faire pendant 1 an?

La CNIL a des effectifs ridicules et des moyens d'actions dérisoires pour un nombre de plaintes astronomiques, en particulier depuis le RGPD.

Ils sont en effet 225 pour traiter les 13585 plaintes de 2020, ce qui fait un peu moins de 4h d'analyse par plainte si les 225 personnes ne s'occupaient que de ça à plein temps. Ce qui n'est déjà pas beaucoup. Mais c'est une administration française, j'ai pas trop de mal à croire qu'une partie non négligeable des effectifs ne sont pas des productifs.

[Stéphane le calme]

La CNIL condamne Clearview AI à verser une amende de 20 millions d'euros.
Le spécialiste des technologies de reconnaissance faciale est accusé d'avoir violé le RGPD en collectant des données biométriques sans consentement

La CNIL a jugé l'année dernière que Clearview traitait illégalement des données personnelles et a ordonné à l'entreprise d'y mettre fin en décembre 2021. Cependant, selon le gendarme du numérique, l'entreprise spécialisée dans la reconnaissance faciale n'a toujours pas répondu à sa mise en demeure, ce qui lui a valu une amende de 20 millions d'euros. Outre cette amende, la CNIL a de nouveau enjoint l'entreprise de cesser de collecter les données des personnes résidant en France et de supprimer les données qu'elle avait déjà collectées.

Le gendarme français du numérique a déclaré qu'il y avait « des risques très graves pour les droits fondamentaux des personnes concernées » et a donné à l'entreprise deux mois pour se conformer à sa mise en demeure, sous peine d'encourir des amendes allant de 100 000 € par jour.

Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l'entreprise indique que c'est un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ».

Son fonctionnement est simple : vous prenez une photo d'une personne, la téléchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuie sur une base de données de plus de trois milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web.

Clearview a donc construit sa base de données en prenant des images à partir de réseaux sociaux et d'autres sources en ligne sans le consentement des sites Web ou des personnes photographiées. Facebook, Google, Twitter et YouTube ont exigé que l'entreprise cesse de prendre des photos de leurs sites et supprime celles qui ont été précédemment prises. Clearview a fait valoir que sa collecte de données est protégée par le premier amendement.

Chose légale ou pas, plusieurs rapports publiés en 2020 ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, pendant plus d'un an avant que la société ne fasse l'objet d'un examen public, l'application avait été librement utilisée par les investisseurs, les clients et les amis de la société. Des personnes proches de Clearview ont utilisé leur technologie de reconnaissance faciale lors de fêtes, de réunions d'affaires, etc. faisant des démonstrations de son potentiel pour le plaisir ou l'utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.

Pour sa défense, Hoan Ton-That, cofondateur de l'entreprise, a expliqué que des comptes d'essai ont été fournis à des investisseurs potentiels et actuels, ainsi qu'à d'autres partenaires stratégiques, afin qu'ils puissent tester l'application.

Clearview était inconnu du grand public jusqu'en janvier dernier 2020, lorsqu'il a été rapporté que la start-up avait développé un système de reconnaissance faciale révolutionnaire qui était utilisé par des centaines d'agences d'application de la loi.

La CNIL met en demeure CLEARVIEW AI, qui doit cesser la réutilisation de photographies accessibles sur internet

À partir de mai 2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021, l’association Privacy International a également alerté la CNIL sur cette pratique.

Au cours de cette procédure, la CNIL a coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société CLEARVIEW AI en Europe.

Les investigations menées par la CNIL ont permis de constater deux manquements au RGPD :

1. un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
2. l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).

Un traitement illicite de données personnelles (manquement à l’article 6 du RGPD)

Pour être licite, un traitement de données personnelles doit reposer sur l’une des bases légales visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview AI, qui ne respecte pas cette règle, est donc illicite.

En effet, cette société ne recueille pas le consentement des personnes concernées pour aspirer et utiliser leurs photographies afin d’alimenter son logiciel.

Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur internet de plusieurs dizaines de millions d’internautes en France. Ces personnes, dont les photographies ou vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne s’attendent raisonnablement pas à ce que leurs images soient traitées par la société pour alimenter un système de reconnaissance faciale pouvant être utilisé par des Etats à des fins policières.

La gravité de ce manquement conduit la présidente de la CNIL à enjoindre à Clearview AI de cesser, faute de base légale, la collecte et l’usage des données de personnes se trouvant sur le territoire français, dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.

Les droits des personnes non respectés (articles 12, 15 et 17 du RGPD)

Les plaintes reçues par la CNIL ont révélé les difficultés rencontrées par les plaignants pour exercer leurs droits auprès de la société Clearview AI.

D’une part, la société ne facilite pas l’exercice du droit d’accès des personnes concernées :

• en limitant l’exercice de ce droit aux données collectées durant les douze mois précédant la demande ;
• en restreignant l’exercice de ce droit à deux fois par an, sans justification ;
• en ne répondant à certaines demandes qu’à l’issue d’un nombre excessif de demandes d’une même personne.

D’autre part, la société ne répond pas de manière effective aux demandes d’accès et d’effacement qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne répond pas du tout aux demandes.

En conséquence, la présidente de la CNIL a décidé de mettre la société CLEARVIEW AI en demeure de :

• cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
• faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.

La société CLEARVIEW AI disposait d’un délai de deux mois à compter de décembre 2021 pour respecter les injonctions formulées dans la mise en demeure et en justifier auprès de la CNIL. Le gendarme français du numérique a prévenu que si l'entreprise ne s'était pas conformée à l'issue de ce délai, la présidente de la CNIL aura la possibilité de saisir la formation restreinte de la CNIL qui pourrait prononcer une sanction, notamment pécuniaire.

À la suite d’une mise en demeure restée sans réponse, la CNIL prononce une sanction de 20 millions d’euros

Le délai de cette mise en demeure est donc largement dépassé et ce n'est que maintenant que la Cnil inflige au groupe une amende, à savoir de 20 millions d'euros. « La société s’est appropriée plus de 20 milliards d’images à travers le monde. Grâce à cette collecte, la société commercialise l’accès à sa base d’images de personnes sous la forme d’un moteur de recherche dans lequel un individu peut être recherché à l’aide d’une photographie. La société offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction », explique la Cnil.

Cette sanction pécuniaire est assortie d’une injonction de supprimer les données des Français déjà collectées, et de cesser toute nouvelle collecte sans base légale. La société a deux mois pour s’exécuter, sous peine d’une astreinte de 100 000 euros par jour de retard au-delà.

Des condamnations similaires en Europe et des poursuites en Amérique

L'Italie inflige une amende de 20 millions d'euros

Une enquête de Garante per la Protezione dei Dati Personali, l'autorité italienne de protection des données, a révélé que la base de données de 10 milliards d'images de visages de l'entreprise comprend celles d'Italiens et de résidents en Italie. La société basée à New York est condamnée à une amende de 20 millions d'euros et devra également supprimer toute biométrie faciale qu'elle détient sur les ressortissants italiens.

« Les conclusions ont révélé que les données personnelles détenues par l'entreprise, y compris les données biométriques et de géolocalisation, sont traitées illégalement, sans base légale adéquate, ce qui ne peut certainement pas être l'intérêt légitime de l'entreprise américaine », a déclaré le Garante dans un communiqué.

Parmi les autres violations du règlement général sur la protection des données (RGPD) qu'il a identifiées, citons les obligations de transparence (du fait que Clearview n'a pas suffisamment informé les utilisateurs de ce qu'il faisait avec leurs selfies) ; la violation de la limitation des finalités et utilisation des données des utilisateurs à des fins autres que celles pour lesquelles elles ont été publiées en ligne ; ainsi que des violations des règles de conservation des données sans limites de stockage.

« L'activité de Clearview AI viole donc les libertés des personnes concernées, y compris la protection de la confidentialité et le droit de ne pas être discriminé », a également déclaré l'autorité.

Dans le communiqué de presse annonçant la sanction, le Garante a également noté qu'il avait ordonné à Clearview de désigner un représentant dans l'UE « afin de faciliter l'exercice des droits des personnes concernées » - une autre exigence légale en vertu du droit de l'UE qu'il a constaté que l'entreprise n'avait pas remplie. Mais l'absence d'une entité Clearview basée dans l'UE rend beaucoup plus difficile pour l'Italie de percevoir une amende.

Bien que le RGPD ait, sur le papier, une portée extraterritoriale (ce qui signifie qu'il s'applique en dehors du bloc à toute personne traitant les données des citoyens de l'UE), l'application contre des entités étrangères qui n'ont pas d'établissements ou de dirigeants locaux à qui infliger des sanctions peut constituer des limites pratiques strictes sur la portée de la loi.

Cela dit, les autorités de protection des données peuvent toujours s'en prendre à toute entité locale cliente de l'entité sanctionnée (comme l'a fait le gendarme suédois l'année dernière, infligeant une amende à une force de police locale pour ce qu'elle a qualifié d'utilisation illégale du logiciel de reconnaissance faciale de Clearview).

Le Royaume-Uni condamne l'entreprise à payer 17 millions de livres sterling

En novembre dernier, l'autorité britannique de protection des données a infligé une amende de 17 millions de livres sterling à l'entreprise après avoir constaté que ses pratiques, notamment la collecte de selfies de personnes sans leur consentement à partir de séquences de caméras de sécurité ou de photos, enfreignaient les lois nationales sur la protection des données. La société a également été interdite en Suède et en Australie.

La police belge s'est servi illégalement de Clearview AI et n'a pas obtenu de résultats pertinents

Un rapport d’enquête du COC (l’Organe de contrôle fédéral chargé de surveiller l’usage de l’information policière en Belgique) confirme que des représentants des forces de l’ordre belge avaient bien eu recours, de manière « expérimentale », au logiciel de reconnaissance faciale Clearview. L'affaire avait d'abord été démentie, mais fin de l'année dernière, une confirmation que la police fédérale avait bien mené ce genre de missions de recherche a été faite.

Selon le COC, deux membres de la police judiciaire fédérale, attachés à la DJSOC (Direction centrale de la lutte contre la criminalité grave et organisée) avaient assisté à une présentation de Clearview durant une taskforce d’Europol en 2019, à l’initiative du « National Center of Missing and Exploited Children » – une organisation fondée par le Congrès américain, avec laquelle collabore le FBI :

« L’enquête interne a ainsi révélé que des membres de la DGJ/DJSOC, et plus précisément du service Child Abuse, prennent part deux fois par an à une taskforce opérationnelle d’Europol, la Victim Identification Taskforce. La taskforce s’est réunie physiquement en 2019 et sous forme virtuelle en 2020 (en présence du FBI américain). C’est dans ce cadre que des licences de test ont été mises par Europol à la disposition des participants (et donc également de deux membres de la
DJSOC). Selon le commissaire général, ces membres du personnel ont à plusieurs reprises testé/utilisé l’application sur des dossiers non belges durant la taskforce d’Europol et (à leur retour en Belgique) également sur des dossiers du NCMEC américain (le National Center for Missing and Exploited Children). Ils ont également effectué des tests avec des photos d’eux-mêmes et de collègues/connaissances. Selon le courrier du 22 septembre 2021, ces tests n’ont jamais débouché sur des « résultats opérationnels » (opérationnels au sens de « pertinents dans le cadre d’une information »). Selon Clearview, il aurait au total été procédé à 78 consultations et la dernière utilisation remonterait au 10 février 2020. Le commissaire général confirmait dans ce courrier que l’application ne serait pas utilisée par la police fédérale aussi longtemps que le cadre légal ne le permet pas et que, afin d’éviter tout incident similaire à l’avenir, il serait rappelé à tous les membres du personnel qu’une utilisation d’applications ou un traitement de données à caractère personnel à des fins professionnelles n’est possible que moyennant le respect rigoureux des conditions prévues par la loi ».

La situation en Allemagne...

Dans une affaire en Allemagne, l'agence de protection des données de Hambourg a ordonné à Clearview AI de supprimer le hachage mathématique représentant le profil d'un utilisateur après que celui-ci s'est plaint.

...Et en Amérique

Aux États-Unis, Clearview AI a été poursuivie par l'American Civil Liberties Union dans l'État de l'Illinois en 2020 pour avoir violé la loi sur la confidentialité des données biométriques de l'Illinois. Les résultats de cette action en justice ont contribué à la décision de l'entreprise de cesser de vendre son produit à des entreprises privées américaines. Mais les tourments ne s'arrêtent pas là pour l'entreprise.

Clearview AI a également fait l'objet de poursuites judiciaires dans le Vermont, à New York et en Californie. Les plaintes déposées en mai 2021 allèguent également que les images et les métadonnées collectées Clearview sont stockées sur les serveurs de Clearview AI indéfiniment, même après que la source de la donnée a été supprimée ou rendue privée.

En février 2021, les commissaires à la protection de la vie privée du Canada ont estimé que l'extraction des visages par Clearview est "illégale" et crée un système qui « inflige un préjudice général à tous les membres de la société, qui se retrouvent continuellement dans une séance d'identification par la police ».

Source : CNIL

Et vous ?

L'entreprise a-t-elle raison lorsqu'elle affirme qu'elle n'enfreint pas la loi ?
Que pensez-vous des amendes infligées par la CNIL française et ses homologues européens ?
Comment pouvez-vous expliquer un tel retard dans la décision de la CNIL ?
Que pensez-vous de la décision des gendarmes européens du numériques qui ont interdit les activités de Clearview AI sur leurs territoires ?

Voir aussi :

La France somme Clearview AI, l'entreprise américaine spécialisée dans la reconnaissance faciale, de supprimer ses données, elle dispose d'un délai de deux mois pour respecter les injonctions