Crédit d’image : SAMEER AL-DOUMY/AFP via Getty Images / Getty Images

Clearview AI, la startup américaine qui s’est fait connaître ces dernières années pour des violations massives de la vie privée après avoir supprimé des selfies d’Internet et utilisé les données des personnes pour créer des outils de reconnaissance faciale qu’elle a déposés auprès des forces de l’ordre et d’autres, a été condamnée à une autre amende en France pour non- Idem avec les régulateurs de la protection des données.

Le paiement d’une amende impayée de 5,2 millions d’euros a été émis par le régulateur français CNIL – en plus d’une sanction de 20 millions d’euros imposée par la société l’année dernière pour violation des règles régionales de confidentialité.

Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les conditions du traitement licite des données personnelles. Clearview a été reconnu coupable d’avoir enfreint un certain nombre d’exigences énoncées dans la loi – par la CNIL française et plusieurs autres autorités régionales de protection des données, y compris celles du Royaume-Uni, d’Italie et de Grèce, accumulant plusieurs dizaines de millions d’amendes au total à ce jour .

La question de savoir si Clearview paiera cette amende reste ouverte, car la société basée aux États-Unis n’a pas coopéré avec les régulateurs de l’UE.

Dans un conférence personnelle Aujourd’hui, la CNIL a déclaré que Clearview n’avait pas respecté une ordonnance qu’elle avait émise en octobre dernier – lorsque la CNIL a imposé la sanction la plus élevée possible (20 millions d’euros) pour trois types de violations du RGPD.

L’ordonnance de 2022 fait suite à des conclusions antérieures, en décembre 2021, lorsque – après enquête sur des plaintes – la CNIL a jugé que Clearview avait violé le RGPD en traitant illégalement plusieurs dizaines de millions de données de citoyens ; et ne pas accorder de droits d’accès aux données aux résidents locaux.

C’est le non-respect par Clearview de l’ordonnance de la CNIL de décembre 2021 qui a conduit, en octobre 2022, l’organisme de surveillance français à ajouter un troisième constat d’infraction à son décompte – un manque de coopération avec les régulateurs – et à infliger l’amende la plus élevée possible en vertu du RGPD. (La réglementation autorise une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé.)

L’ordonnance de la CNIL enjoint également Clearview de ne pas collecter et traiter de données sur les personnes physiques situées en France sans base légale appropriée ; et de supprimer les données des personnes dont les informations ont été traitées illégalement, après avoir satisfait aux demandes d’accès aux données non résolues.

A l’époque, la commission de la CNIL chargée de prononcer les sanctions avait donné à Clearview un délai de deux mois pour se conformer à l’ordonnance — avec la menace d’une nouvelle amende en cas de non-respect (au prix de 100 000 € par jour de retard).

On peut dire sans risque de se tromper qu’une entreprise américaine peu coopérative a de nouveau échoué à jouer le ballon – d’où la dernière amende de la CNIL, qui a apparemment facturé Clearview pour 52 jours de non-conformité.

« Clearview AI dispose d’un délai de deux mois pour se conformer à l’ordonnance et confirmer sa conformité auprès de la CNIL. Cependant, la société n’a fourni aucune preuve de conformité dans ce délai », a écrit le régulateur. « Le 13 avril 2023, la commission restreinte a estimé que la société ne s’était pas conformée à l’ordonnance et a en conséquence imposé le paiement de l’amende de retard de 5 200 000 € à Clearview AI. »

Nous avons contacté la CNIL pour des questions. Un porte-parole du régulateur nous a confirmé que Clearview n’a payé aucune des amendes infligées par la CNIL, ajoutant : « Ils ont encore [non-]respecté — c’est pourquoi nous avons imposé le paiement de l’amende de retard de 5 200 000 €.

Clearview a également été contacté pour commentaires. Son agence de relations publiques, LAKPR Group, a répondu par son déni (désormais) coutumier que le droit de l’UE s’applique à son entreprise :

Clearview AI n’a pas d’établissement en France ou dans l’UE, n’a pas de clients en France ou dans l’UE et n’exerce aucune activité qui constitue une conformité au RGPD.

(NB : Le RGPD s’applique aux données personnelles des citoyens de l’UE, de sorte que Clearview n’a pas besoin de supprimer les selfies des résidents locaux d’Internet pour que les lois de protection des données de bloc entrent en vigueur et, notamment, sa déclaration ne dit pas qu’elle ne traite jamais les données des Européens .)

Déclaration de Clearview sur : ce qu’on appelle une « mauvaise interprétation par certaines personnes en France, où nous ne faisons pas affaire, de la technologie Clearview AI au public » attribuée à son PDG, Hoan Ton-That. Il y répétait l’affirmation selon laquelle il n’avait créé la technologie de reconnaissance faciale que « dans le but de rendre la société plus sûre et d’aider les forces de l’ordre à résoudre les crimes odieux contre les enfants, les personnes âgées et d’autres victimes d’actes immoraux » ; ajouté: « Nous collectons uniquement des données publiques sur Internet ouvert et respectons toutes les normes juridiques et de confidentialité. »

Alors que la CNIL française a peut-être dû siffler des millions de dettes de Clearview, l’annonce de l’amende a eu pour effet d’empêcher essentiellement la société d’intelligence artificielle de s’installer en France – à moins qu’elle ne soit disposée à payer lorsque les agents de recouvrement de la CNIL sont venus appel.

En outre, et peut-être plus important encore, toutes ces sanctions du RGPD ont pour effet de dissuader les autres entités de la région d’utiliser les services de Clearview – car elles risquent elles-mêmes d’être condamnées à une amende, comme cela s’est produit en 2021 lorsque les autorités policières suédoises ont été prises en flagrant délit d’utilisation illégale de Clearview. ., Par exemple.

Ainsi, alors que les données des citoyens de l’UE ne sont toujours pas protégées contre le traitement abusif par des entreprises d’IA hostiles à la vie privée comme Clearview, le RGPD pourrait au moins aider à limiter les dégâts en rendant de facto impossible de faire des affaires dans la région. Bien que l’histoire souligne sans aucun doute le défi d’appliquer les statuts aux entités étrangères non coopératives à une époque de grands flux de données transfrontaliers.

D’autres réglementations européennes arrivent également pour l’IA, les législateurs du bloc étant très occupés à discuter des derniers détails de la loi sur l’IA : un règlement sur l’utilisation de l’intelligence artificielle proposé par la Commission en 2021. La version préliminaire de ce risque Le cadre basé sur le cloud comprend une interdiction de l’utilisation de la biométrie à distance dans les lieux publics – ce qui a peut-être contribué à inspirer Clearview.

Ce rapport est mis à jour avec la réponse de la CNIL