
Sanction CLEARVIEW AI

Quand la CNIL nous apprend à y voir plus clair
Le 20 octobre 2022 la CNIL a rendu publique sa sanction contre la société CLEARVIEW AI pour un défaut de conformité concernant un logiciel de reconnaissance faciale.
Quels sont donc les faits ?
La société CLEARVIEW AI est une société établie aux Etats-Unis, depuis lesquels elle a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration d’images publiquement accessibles sur internet. A quoi ça sert ? A identifier une personne à partir de l’image la représentant.
Selon la CNIL, cette dernière aurait reçu plusieurs réclamations relatives au non-respect de l’exercice de certains droits : le droit d’accès et de suppression des données à caractère personnel. Qu’à cela ne tienne, la CNIL entame des procédures de contrôle sur pièces à partir du 27 octobre 2020.
S’ensuit une première mise en demeure le 26 novembre 2021 où la CNIL enjoint la société à se mettre en conformité dans un délai de deux mois, sur les points suivants :
- Le choix et la mise en œuvre d’une base juridique adéquate, en application de l’article 6 du RGPD ;
- L’information des personnes concernées, en application de l’article 12 du RGPD ; et enfin,
- Le respect des droits des personnes concernées, tels que prévus aux articles 15 et 17 du RGPD, respectivement le droit d’accès et le droit à l’effacement.
Deux ans plus tard depuis le début de l’affaire, la sanction tombe…
Pourquoi cette sanction ?
On laissera aujourd’hui de côté les questions d’applicabilité du RGPD à cette entité américaine et les questions de guichet unique pour se concentrer sur d’autres défauts de conformité soulevés par la CNIL, et en particulier : le problème posé par l’aspiration des données : défaut de transparence et défaut de base juridique.
Avec l’apport des autres autorités de contrôle concernées, la CNIL a pu déduire que la société CLEARVIEW AI procédait à une collecte de masse sur les pages web librement accessibles : « toutes les images sur lesquelles apparaissent des visages ». Cette collecte pouvait concerner les réseaux sociaux, les sites professionnels, les blogs, et même des vidéos disponibles en ligne sur différentes plateformes.
Une sorte de collecte sans limite en somme, si ce n’est pour certains sites adultes…
Une fois les images collectées, la société s’en servait pour calculer un gabarit biométrique. Ce gabarit, en très bref, c’est ce qui permet de vous identifier vous et de vous distinguer d’un autre via votre empreinte numérique unique. Il s’agit en fait d’un dispositif de reconnaissance faciale.
Mais dans quel but faire cela ?
Une plateforme en ligne, payante, permet à une personne d’y télécharger une photographie d’un visage pour retrouver les images correspondantes grâce à l’empreinte numérique calculée. Pour aller plus loin, l’outil fournit aussi les URL associées (blog, réseaux, etc.) et donc de retrouver la bonne personne physique.
1] Sur le défaut de base juridique :
Pour rappel, c’est l’article 6 du RGPD qui impose que tout traitement doit reposer sur au moins une base juridique pour être licite. Parmi ces bases, on retrouve notamment le consentement des personnes concernées, les intérêts légitimes du responsable du traitement, les obligations légales et bien d’autres.
En l’espèce, la CNIL a considéré que la société CLEARVIEW AI ne disposait pas d’une base juridique adéquate permettant de rendre licite le traitement. En outre, lors du contrôle sur pièce mené par la CNIL, la société n’avait pas non plus su indiquer quelle base juridique elle employait pour cette activité de traitement.
La CNIL, pour exclure la possibilité d’employer les intérêts légitimes comme base juridique, évalue dans sa décision les éléments suivants, en s’appuyant sur l’avis 06/2014 du Comité européen de la protection des données sur la notion d’intérêt légitime :
- Les intérêts économiques de la société opposés aux intérêts, libertés et droits fondamentaux des personnes concernées ;
- Les attentes raisonnables des personnes concernées à voir leurs données traitées dans ce contexte ; et enfin,
- Le caractère particulièrement intrusif du dispositif.
En bref, la CNIL ne voit qu’une seule base juridique qui aurait pu rendre le traitement licite aux vues du contexte et à défaut de pouvoir employer une des autres bases : le consentement.
2] Sur le défaut de respect des droits des personnes concernées
On vous renverra sur ce point à nos minutes publiées sur notre chaîne YouTube pour en savoir plus sur l’ensemble des droits prévus par le RGPD, et sur la manière de les respecter.
La CNIL procède tout de même ici à des rappels importants :
- Le droit d’accès n’est pas que le droit d’accès aux données à caractère personnel. Ce droit permet également d’obtenir la confirmation de la part d’un responsable de traitement que ses données à caractère personnel font bien l’objet d’un traitement. Ce droit permet également d’obtenir les informations relatives au traitement de données telles que prévues aux articles 12, 13 et 14 du RGPD.
Un responsable de traitement se doit de traiter ce type de demande, dans les plus brefs délais, comme prévu par le texte.
- Le droit d’effacement, bien que limité en pratique, trouvait ici à s’appliquer. Le traitement ne reposant pas sur une base juridique valable, les personnes concernées pouvaient en effet obtenir la suppression de leurs données à caractère personnel.
La société n’ayant pas su apporter une défense valable sur ces deux points, le défaut de respect du droit des personnes concernées est également retenu comme défaut de conformité. Ce point nous enjoint donc à vous rappeler qu’il est particulièrement important d’évaluer correctement chacune de vos activités de traitement pour vérifier dans quels cas les droits RGPD seront applicables et prévoir des moyens effectifs pour les faire respecter !
3] Sur le défaut de coopération avec la CNIL
Un troisième défaut conclut l’analyse de la CNIL et est notable au travers de la lecture de la Délibération SAN-2022-019 du 17 octobre 2022. Il s’agit du défaut de coopération avec la CNIL.
En effet, il n’est pas difficile de noter que la société s’est abstenue de répondre ou a répondu partiellement aux différentes questions posées par l’autorité de contrôle. Grand mal lui a pris, car ce défaut peut faire pencher la balance vers une sanction plus importante…
On en profitera d’ailleurs pour rappeler qu’un défaut de coopération lors d’un contrôle de la CNIL pourrait être qualifié de délit d’entrave (et ça, ça se règle au pénal). On vous laisse vous renseigner sur le sujet en consultant la Charte des contrôles de la CNIL de 2022.
En conclusion que peut-on retenir de la sanction de la CNIL ?
- Que pour tout traitement, même s’il s’appuie sur des collectes de données « publiques », le RGPD s’applique bien :
- Il faudra donc déterminer la base juridique adéquate : celle-ci dépendra généralement du contexte de la collecte (si la loi impose la collecte, si les données sont nécessaires à l’exécution d’un contrat, etc.) ;
- Il faudra aussi prévoir l’information des personnes concernées : cette information sera à adapter selon qu’il s’agisse d’une collecte de données directe, indirecte, ou d’un mix des deux ; et enfin ;
- En plus de s’assurer que tous les autres principes fondamentaux sont effectivement respectés et appliqués, il faudra s’assurer que toutes les personnes concernées par l’activité de traitement en cause sont en mesure d’exercer leurs droits RGPD et que vous serez à même d’y répondre.
- Que personne n’est à l’abri d’un contrôle de la CNIL ou d’une autorité de contrôle compétente : il est donc de bon ton d’anticiper cette situation pour pouvoir accompagner au mieux ce type de contrôle et y répondre en toute sérénité.
Et enfin, un dernier conseil pour la route : pour tout traitement innovant, potentiellement à large échelle, potentiellement intrusif … Menez une étude d’impact (article 35 RGPD) qui vous permettra de vérifier la conformité des points précédents 😉!
Pour toutes vos questions, n’oubliez pas que nous sommes là pour vous répondre !
Articles similaires

