La dernière version de la France gifle Clearview AI pour la suppression de données – TechCrunch

La société controversée de reconnaissance faciale Clearview AI, qui a amassé une base de données de près de 10 milliards d’images en supprimant les selfies d’Internet afin de pouvoir vendre un service de correspondance d’identité aux forces de l’ordre, a reçu une autre ordonnance de suppression des données des personnes.

L’organisme français de surveillance de la vie privée a déclaré aujourd’hui que Clearview avait enfreint le règlement général européen sur la protection des données (RGPD).

dans un publicité Concernant les résultats de la violation, la CNIL met également en demeure Clearview d’arrêter le « traitement illicite » et précise qu’elle doit supprimer les données des utilisateurs dans un délai de deux mois.

L’organisme de surveillance travaille sur les plaintes contre Clearview reçues depuis mai 2020.

La société américaine n’a pas de base solide dans l’UE – ce qui signifie que son entreprise est ouverte à des mesures réglementaires dans toute l’UE, par l’un des contrôleurs de la protection des données du bloc. Ainsi, alors que la demande de la CNIL ne porte que sur les données qu’elle détient sur les personnes du sol français – dont la CNIL estime qu’elles couvrent « plusieurs » dizaines de millions d’internautes – il est probable que davantage de demandes émanent d’autres agences de l’UE.

La CNIL note qu’elle a cherché à travailler avec d’autres autorités en partageant les résultats de ses enquêtes, indiquant que Clearview sera probablement confrontée à des ordonnances supplémentaires pour arrêter le traitement des données par les autorités d’autres États membres de l’UE et des pays de l’EEE qui sont devenus nationaux du RGPD. Droit (environ 30 pays au total).

Clearview a déjà été condamnée cette année pour avoir enfreint les règles de confidentialité en CanadaEt Australie et le Royaume-Uni (qui, après le Brexit, est en dehors de l’UE mais maintient le RGPD dans le droit national pour l’instant) – il encourt une amende potentielle et a également reçu l’ordre de supprimer les données des utilisateurs le mois passé.

Deux manquements au Règlement Général sur la Protection des Données (RGPD)

La CNIL française a constaté que Clearview avait commis deux infractions au RGPD : violation de l’article 6 (licéité du traitement) en collectant et en utilisant des données biométriques sans base légale ; et violation de divers droits d’accès aux données prévus aux articles 12, 15 et 17.

La violation de l’article 6 est due au fait que Clearview n’obtient pas le consentement des personnes pour utiliser la biométrie faciale, et ne peut pas s’appuyer sur une base légale pour l’intérêt légitime de collecter et d’utiliser également ces données – étant donné ce que la CNIL décrit comme l’échelle massive et « particulièrement intrusive  » nature du traitement que vous effectuez.

« Ces personnes, dont les photos ou vidéos sont accessibles sur divers sites Internet et réseaux sociaux, ne s’attendent pas raisonnablement à ce que leurs photos soient traitées par [Clearview AI] Pour alimenter un système de reconnaissance faciale que les pays peuvent utiliser [such as for] A des fins policières », écrit la CNIL.

Il a également reçu des plaintes de particuliers concernant un certain nombre de « difficultés » qu’il a rencontrées pour tenter d’obtenir des droits d’accès à leurs données GDPR.

La CNIL a constaté ici que Clearview enfreint les réglementations de plusieurs manières – telles que la restriction des droits d’accès aux données individuelles deux fois par an « de manière injustifiée » ; ou la limiter aux données collectées au cours des douze derniers mois ; Ou ne répondre à certaines demandes qu’après « un nombre excessif de demandes de la même personne ».

Clearview a été invitée à s’assurer qu’elle facilite correctement les droits des personnes concernées, notamment en se conformant aux demandes de suppression des données des personnes.

Si l’entreprise ne se conforme pas à l’ordonnance française, la CNIL prévient qu’elle pourrait faire face à d’autres mesures réglementaires – qui incluront la possibilité d’une amende.

En vertu du règlement général sur la protection des données (RGPD), les accords de protection des données (DPA) peuvent infliger des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise, selon le montant le plus élevé. Cependant, imposer des amendes à des entreprises qui n’ont pas d’implantation dans l’UE est un défi réglementaire.

Clearview a été contacté pour commenter l’ordonnance de la CNIL.