Clearview de nouveau condamné à une amende en France pour non-respect des directives de confidentialité

Crédit d’image : Samir Al-Doumi/AFP via Getty Images/Getty Images

La startup américaine Clearview AI, qui a acquis une notoriété ces dernières années pour une violation massive de la vie privée après avoir récupéré des selfies sur Internet et utilisé les données des personnes pour créer un outil de reconnaissance faciale pour les forces de l’ordre et autres, a été condamnée à une autre amende en France. Non-coopération avec le contrôleur de la protection des données.

Une amende tardive de 5,2 millions d’euros a été payée par le régulateur français CNIL – une sanction de 20 millions d’euros à l’entreprise l’année dernière pour avoir enfreint les règles régionales de confidentialité.

Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les conditions du traitement licite des données personnelles. Il a été constaté que Clearview a enfreint de nombreuses exigences énoncées dans la loi – la CNIL française et plusieurs autorités régionales de protection des données, y compris des autorités britanniques, italiennes et grecques, ont été condamnées à des amendes totalisant plusieurs millions à ce jour.

La question de savoir si Clearview paiera l’une de ces amendes reste une question ouverte, car la société basée aux États-Unis n’a pas coopéré avec les régulateurs de l’UE.

UN communiqué de presse Aujourd’hui, la CNIL a déclaré que Clearview n’avait pas respecté une ordonnance rendue en octobre dernier – imposant des amendes maximales (20 millions d’euros) pour trois types de violations du RGPD.

Ce décret de 2022 faisait suite à une constatation antérieure selon laquelle, en décembre 2021, la CNIL avait conclu – après avoir enquêté sur des plaintes – que la CNIL avait enfreint le RGPD en traitant illégalement les données de plusieurs millions de citoyens ; et non-octroi de droits d’accès aux données aux populations locales.

En octobre 2022, l’organisme de surveillance français a ajouté une troisième constatation d’infraction à son décompte après que Clearview n’a pas respecté la directive de la CNIL de décembre 2021 – non-coopération avec le régulateur – et lui a infligé l’amende la plus élevée possible en vertu du RGPD. . (Le règlement autorise des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé.)

L’ordonnance de la CNIL enjoignait à Clearview de ne pas collecter et traiter de données sur les personnes physiques en France sans base légale valable ; Supprimer les données des personnes traitées illégalement après avoir répondu aux demandes d’accès aux données en attente.

A l’époque, la commission CNIL chargée de prononcer les sanctions avait donné à Clearview un délai de deux mois pour se conformer à l’ordonnance.

Une entreprise américaine apparemment peu coopérative a encore échoué à jouer le ballon – d’où la dernière amende de la CNIL, qui semble facturer Clearview pour 52 jours de non-conformité.

« Clearview AI s’est donné deux mois pour se mettre en conformité avec la directive et justifier de la conformité auprès de la CNIL. Or, l’entreprise n’a transmis aucun justificatif de conformité dans ce délai », écrit le régulateur.

Nous avons contacté la CNIL avec des questions.

Clearview a également été contacté pour une réponse. Son agence de relations publiques LAKPR Group a répondu par son déni (désormais) habituel que le droit de l’UE s’applique à son entreprise :

Clearview AI n’a pas d’établissement en France ou dans l’UE, n’a pas de clients en France ou dans l’UE et n’exerce aucune activité qui la soumettrait au RGPD.

(NB : le RGPD s’applique aux données personnelles des citoyens de l’UE, donc Clearview n’a pas besoin d’avoir supprimé les selfies des habitants d’Internet pour que la loi sur la protection des données du bloc soit inapplicable, d’autant plus que sa déclaration ne dit pas qu’elle a déjà traité les Européens. information.)

Déclaration de Clearview : « Il a été mal compris par certains en France que nous ne faisions aucune affaire, à propos de la technologie de Clearview AI à la communauté » son PDG Hon Tan-That. Il y répète qu’il a développé une technologie de reconnaissance faciale « dans le but de rendre les communautés plus sûres et d’aider les forces de l’ordre à résoudre les crimes odieux contre les enfants, les personnes âgées et les autres victimes de malhonnêteté » ; Et : « Nous collectons uniquement des données publiques sur le Web ouvert et respectons toutes les normes de confidentialité et de loi. »

Alors que la CNIL française a dû dénoncer les millions dus par Clearview, les avis de sanction ont pour effet d’empêcher la société d’intelligence artificielle de s’installer en France, ce qui signifie qu’elle n’est pas disposée à payer lorsque les agents de recouvrement de la CNIL appellent.

Ajoutez à cela, et plus important encore, toutes ces amendes GDPR dissuadent les autres entreprises de la région d’utiliser les services de Clearview – car elles risquent d’être condamnées à une amende, comme en 2021 lorsqu’un policier suédois a été surpris en train d’utiliser Clearview illégalement. Par exemple.

Alors que les données des citoyens de l’UE ne sont toujours pas protégées contre les abus par des sociétés d’IA anti-vie privée comme Clearview, le RGPD peut au moins aider à limiter les dommages qui peuvent rendre impossible de faire des affaires dans la région. La saga souligne sans aucun doute le défi d’appliquer le règlement territorial sur les entités étrangères non coopératives à une époque de grands flux de données transfrontaliers.

Il y a plus de restrictions européennes sur l’IA que les législateurs du groupe, qui sont occupés à déployer les derniers détails de la législation sur l’IA : un règlement sur l’utilisation de l’intelligence artificielle proposé par la Commission en 2021. Cette version préliminaire du cadre basée sur les risques comprend une interdiction de l’utilisation de la biométrie à distance dans les lieux publics – ce que Clearview a peut-être contribué à encourager.