Connexion
Abonnez-vous

La CNIL inflige 5 millions d’euros d’astreinte à Clearview, mais comment contraindre à payer ?

L'entreprise de reconnaissance faciale cache son visage à la CNIL

La CNIL inflige 5 millions d'euros d'astreinte à Clearview, mais comment contraindre à payer ?

Le 15 mai 2023 à 14h43

La CNIL a décidé de « liquider » l'astreinte à l'encontre de Clearview, alors que l'entreprise ne veut toujours pas payer l'amende de 20 millions d'euros que l'autorité lui a infligée. Se sont ajoutés 5,2 millions d'euros pour le retard entre décembre 2022 et février 2023. Maintenant, la CNIL cherche un moyen de contraindre l'entreprise à la payer.

La semaine dernière, la CNIL a annoncé avoir « décidé de liquider l’astreinte prononcée à l’encontre de Clearview AI ». À la sanction de 20 millions d'euros qu'elle a prononcée en octobre, s'ajoute donc une nouvelle amende de 5,2 millions à l'encontre de la société de reconnaissance biométrique faciale américaine.

En octobre, la CNIL enjoignait Clearview à « cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées ». Mais depuis, la société fait la sourde oreille et n'a ni payé son amende ni «  transmis aucun élément permettant d’attester de sa mise en conformité à l’injonction prononcée à son encontre » selon la délibération de l'Autorité publiée le 10 mai dernier.

Cette sanction avait été prise car l'entreprise « collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web », sur les réseaux sociaux, mais aussi sur les sites web d'entreprises présentant leurs salariés ou en extrayant les visages de vidéos disponibles en ligne.

Et Clearview est récidiviste. C'était la quatrième amende qu'elle recevait en Europe sur le sujet : deux amendes de 20 millions d'euros en Italie, en mars 2022, ainsi qu'en Grèce en juillet 2022, et de 7,5 millions de livres en Grande-Bretagne en mai.

Pour s'assurer le paiement de cette amende, la CNIL l'avait assortie d'une « injonction d’une astreinte de cent mille euros (100 000 euros) par jour de retard à l’issue d’un délai de deux mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ».

C'est l'addition des jours de retard décomptés par la CNIL qui, au final, fait un total de 5,2 millions d'euros à payer en plus pour l'entreprise américaine.

Et maintenant, comment faire appliquer ?

Mais le problème, c'est que si cette décision contraint juridiquement et théoriquement Clearview à payer ces 25 millions d'euros auprès de la CNIL, l'autorité n'a pas de moyen direct pour contraindre l'entreprise à payer et à appliquer son injonction, c'est-à-dire, l'arrêt de la collecte d'images.

Depuis le début du dossier, l'entreprise ne montre aucune volonté de collaborer avec l'Autorité française ni à se plier à ses injonctions. Dans sa délibération d'octobre déjà, la CNIL soulignait que l'entreprise n'avait « présenté aucune observation en défense » et n'avait pas « répondu de manière satisfaisante aux demandes de la CNIL dans les délais impartis », avant de ne répondre « que de manière très partielle » au questionnaire de contrôle qui lui avait été adressé.

Quand on lui demande ce qu'elle compte faire, l'autorité répond à Next INpact que « s’agissant de l’injonction, la CNIL continue de se rapprocher de son homologue américain, la Federal Trade Commission (FTC), pour évoquer la façon dont nous pourrions nous assurer de l’exécution de l’injonction prononcée à l’encontre de la société. ».

En ce qui concerne l'astreinte, « le Ministère de l’Économie et des Finances se rapproche de la FTC pour envisager les moyens existants et possibles à mettre en œuvre pour recouvrer l’amende ainsi que l’astreinte », explique-t-elle.

Un court délai avant la liquidation de l'astreinte

Une autre question se pose : celle du montant de la liquidation de l'astreinte. Au regard des 20 millions d'euros de l'amende initiale, si les 5,2 millions d'euros ne sont pas ridicules, ils n'ont pas fait plier Clearview.

La CNIL n'utilise qu'exceptionnellement la liquidation. C'est en 2021 qu'elle l'a fait pour la première fois, expliquait-elle en janvier 2022 dans son bilan annuel. Et, à l'époque, elle précisait que « la société concernée, initialement sanctionnée d’une amende de 7 300 euros, a dû payer 65 000 euros supplémentaires car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction ». Le montant de cette première liquidation était huit fois supérieur à l'amende initiale.

Ici, la liquidation de l'astreinte de Clearview correspond à un peu plus d'un quart de l'amende que lui a infligée la CNIL.

Deux paramètres entrent en ligne de compte : le montant de l'astreinte journalière (100 000 euros) et le nombre de jours décomptés avant la liquidation de l'astreinte.

La délibération de l'astreinte indique que la période prise en compte pour cette liquidation est du 19 décembre 2022 au 9 février 2023, ce qui fait bien 52 jours. « Sur le plan procédural, les délais normaux ont été respectés : deux mois d’injonction ainsi que l'engagement du contradictoire et les droits de la défense » précise la CNIL. Le 9 février est, de fait, la date de réunion de la formation restreinte de l'autorité qui a décidé de cette liquidation.

Dossier non clôturé

La CNIL affirme à Next INpact qu' « il faut savoir que cette liquidation est sans préjudice d’éventuelles autres actions si jamais la mise en conformité n’est pas effective ». Le dossier de Clearview à la CNIL ne serait pas forcément refermé et l'entreprise pourrait à nouveau recevoir des nouvelles de l'autorité.

Interrogé par nos soins, l'avocat Alexandre Archambault confirme : « la liquidation de l'astreinte ne signifie pas fin du dossier, car l'injonction n'est pas clôturée. »

Mais tant que l'autorité ne trouve pas un moyen de contraindre l'entreprise à payer les amendes qu'elle lui inflige, ces millions d'euros d'amende restent, pour le moment, très virtuels.

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et bas c’est facile, il suffit d’un blocage administratif de leur site web avec redirection vers le site du ministère de l’intérieur jusqu’à ce qu’ils paient.

votre avatar

J’imagine les pays européens qui mettent une demande d’extradition sur la tête des dirigeants de Clearview…



Mais ça n’arrivera pas, c’est pas comme s’ils avaient téléchargé un mp3 de jjg.



votre avatar

Qu’ils ne lâchent pas l’affaire. Je vois là une cartouche pour le prochaine coup. La prochaine boite FR à se faire déboîter par le DOJ, on pourra leur dire qu’il fallait que ça aille dans les deux sens…

votre avatar

Intéressant ça.
Si les autorités US y mettent de la mauvaise volonté que se passe t-il ?



A suivre…

votre avatar

Quand on lui demande ce qu’elle compte faire, l’autorité répond à Next INpact que « s’agissant de l’injonction, la CNIL continue de se rapprocher de son homologue américain, la Federal Trade Commission (FTC), pour évoquer la façon dont nous pourrions nous assurer de l’exécution de l’injonction prononcée à l’encontre de la société. ».


Amusant. Quand les Stazunis infligent une sanction à une société française ou européenne, ils ont les moyens de lui tordre le bras. L’Europe aurait un bon moyen ici de montrer qu’elle est utile. Au lieu de ça, on va encore faire des discours, et dans quelques jours tout sera oublié.



Les boss de Clearview doivent bien se marrer : s’ils jouent à ce jeu, c’est qu’ils savent qu’ils ne risquent pas grand-chose.

votre avatar

Si on ne peut pas les atteindre eux, serait-il possible de mettre la pression sur leurs clients en Europe ?

votre avatar

si cette décision contraint juridiquement et théoriquement Clearview à payer ces 25 millions d’euros auprès de la CNIL, l’autorité n’a pas de moyen direct pour contraindre l’entreprise à payer et à appliquer son injonction, c’est-à-dire, l’arrêt de la collecte d’images.


il ne reste qu’une seule solution…



votre avatar

Moi, j’aurais dit d’envoyer notre bruno national :D

votre avatar

A part une interdiction à Clearview d’exercer sur le territoire français (voire de l’UE vu que c’est une violation répétée du RGPD dans ce multiples Etats-membres), y’aura pas 36 moyens.



Cela démontre l’impuissance des organismes publics en la matière hélas.

votre avatar

Il ne peut pas y avoir une action au niveau européen ? Ça m’a pas l’air très RGPD friendly tout ça.

votre avatar

Ben sinon il faut coller aux dirigeants un mandat d’arrêt international.
Et dès qu’ils débarquent en europe , paf, en taule jusqu’à ce que l’entreprise paie.



Valable aussi pour les conjoints et les enfants.



Les USA ne se gênent pas pour faire ce genre de chose:



https://www.capital.fr/economie-politique/affaire-alstom-frederic-pierucci-raconte-lenfer-quil-a-vecu-aux-etats-unis-1324979
https://www.ouest-france.fr/societe/justice/canada-arrestation-d-une-haute-responsable-du-geant-chinois-des-telecoms-huawei-6111671



Evidamment, interdiction d’opération sur le territoire européen, interdiction à toute entreprise européenne de travailler avec eux de quelque manière que ce soit sous peine d’amende, y compris à plusieurs niveau , au même titre que si Clearview était un cartel de narcotique.
(comme la BNP par les USA : https://www.lemonde.fr/economie/article/2015/05/01/la-bnp-paribas-formellement-condamnee-a-une-amende-record-aux-etats-unis_4626207_3234.html )



A un moment, il faut avoir le courage de ses opinions et montrer aussi un rapport de force.
Sinon c’est que des mots & du blahblah et le signal envoyé est que l’EU est un terrain de jeu sans risque financier.

votre avatar

Ce serait l’idéal mais l’Europe ne fera jamais une telle chose. Elle ne s’autorise même pas à faire du protectionnisme envers les produits importés, avec des entreprises basées hors CEE alors que les Etats Unis et la Chine ne s’embettent pas avec cela

votre avatar

La CNIL a seulement un pouvoir de sanction, mais pas de pouvoir judiciaire…

votre avatar

pourquoi une entreprise etrangere devrait elle se plier a la CNIL ?
Elle collecte des infos publiques non ?

votre avatar

Mélange de 2 sujets totalement distincts et disjoints sans rapport.
Territorialité du droit vs respect de la vie privée.



Une entreprise française ou européenne n’aurait pas le droit d’aspirer des données publiques mais néanmoins personnelles comme le fait ClearView. Ben oui le but de ClearView c’est de coller une étiquette avec le nom et prénom sur toutes les photos aspirées - sans le consentement de la personne bien sûr.



Ya un truc qui s’appelle le GDPR en Europe par exemple pour protéger de ce genre d’abus même avec des données publiques. ( consentement)



Une photo peut être publique sans que cela donne droit automatiquement à une autorisation commerciale par une tierce partie d’autant plus que les photos ici sont utilisées pour identifier la personne et la mettre dans une immense base de données.



Pas cool.. :cartonrouge:

votre avatar

Mon petit doigt me dit que si la FTC faisait le même type de requête auprès de la CNIL, ça serait assez, voire très rapidement plié… Ni une, ni deux, emballé… :D

votre avatar

Eagle1 a dit:


pourquoi une entreprise etrangere devrait elle se plier a la CNIL ? Elle collecte des infos publiques non ?


Un traitement de données personnelles exige toujours le consentement éclairé et positif (“qui ne dit mot consent” n’existe pas au sens du RGPD, c’est non par défaut) de la personne. Quand bien même la donnée serait déjà publiée publiquement et si aucune base légale ne vient le justifier.



C’est la raison pour laquelle le scrapping des médias sociaux est une pratique qui peut être illégale sans fondement législatif associé (comme le cas du fisc par ex).

votre avatar

mais ca c’est une regle Francaise non ?

votre avatar

Non, le consentement est définit par le RGPD et concerne tout citoyen de l’UE et toute entreprise exerçant au sein de celle-ci ou traitant des données personnelles de ressortissants de l’UE.

votre avatar

Il est temps que le dossier soit transmis aux autorités judiciaires et que des poursuite internationales soient engagés

votre avatar

Erwan123 a dit:


La CNIL a seulement un pouvoir de sanction, mais pas de pouvoir judiciaire…


Ce sont des freins que nous-même on se met.
Les USA n’ont pas ce genre de considérations quand ils décident de séquestrer des gens ou infliger des amendes.

votre avatar

+1



“A un moment, il faut avoir le courage de ses opinions et montrer aussi un rapport de force.
Sinon c’est que des mots & du blahblah et le signal envoyé est que l’EU est un terrain de jeu sans risque financier.”



Totalement d’accord!

votre avatar

OB a dit:


Ce sont des freins que nous-même on se met. Les USA n’ont pas ce genre de considérations quand ils décident de séquestrer des gens ou infliger des amendes.


Les administrations/commissions fédérales sont des autorités légales avec le pouvoir de faire appliquer la loi => elles ont une juridiction et des forces de l’ordre.



Quand on a une inspection de la FDA dans ma boite (sur le territoire US), l’officier US qui vient a un flingue à la ceinture. Et il vient juste pour contrôler de la paperasse.



Est-ce qu’on est prêt en France à ce qu’une administration/commission (donc un groupe de gens nommés par le gouvernement) fasse sa propre police+justice ? J’en doute. Y a qu’a voir dans les commentaires de NXI comment sa gueule dés qu’une décision administrative un peu contraignante (blocage DNS ?) ne passe pas par un sacrosaint tribunal judiciaire.

votre avatar

(quote:2133196:127.0.0.1)
ne passe pas par un sacrosaint tribunal judiciaire.


Déjà je pense que si l’on veux un certain poids il faut que ça se joue au niveau de l’EU et pas “juste” de la France.
D’autre part, je ne m’oppose pas au fait que la sanction prononcée par la CNIL soit avalisée par la justice , même EU, avant d’être effectivement imposée à une société hors EU.
Aux USA, Frédéric Pierucci a bien été capturé et placé en prison après une décision de justice (basée sur la loi FCPA).



Dans ce cas précis, Clearview ne fait aucun cas de la RGPD (et ne s’en cache pas), qui est bien une loi européenne qui se veux extra-territoriale.
Alors oui c’est pas la CNIL française qui faire quoique ce soit par contre niveau européen là il y a clairement de la matière. A nous, en tant qu’européens, de voir si l’on décide d’aller sur ce terrain-là avec la même violence que les USA quand ils instrumentalisent leurs propre système judiciaire.

votre avatar

(quote:2133196:127.0.0.1)
Est-ce qu’on est prêt en France à ce qu’une administration/commission (donc un groupe de gens nommés par le gouvernement) fasse sa propre police+justice ? J’en doute.


La Hadopi ?

votre avatar

(quote:2133196:127.0.0.1)
Quand on a une inspection de la FDA dans ma boite (sur le territoire US), l’officier US qui vient a un flingue à la ceinture. Et il vient juste pour contrôler de la paperasse.


A-t-il réellement besoin d’un flingue pour réaliser son contrôle ?

votre avatar

(quote:2133233:alex.d.)
La Hadopi ?


La Hadopi n’exécute pas la sanction: elle n’a pas des officiers qui vont dans le DSLAM débrancher ta ligne.




Thorgalix_21 a dit:


A-t-il réellement besoin d’un flingue pour réaliser son contrôle ?


Autant qu’un douanier francais

votre avatar

Tu m’avais habitué à mieux, vraiment foireuse ta comparaison :)



+1

votre avatar

(quote:2133196:127.0.0.1)



Quand on a une inspection de la FDA dans ma boite (sur le territoire US), l’officier US qui vient a un flingue à la ceinture. Et il vient juste pour contrôler de la paperasse.


Aux USA, ils ont un rapport curieux avec les armesà feu: ils se promènent même avec pendant leur courses ou à l’école. Donc, je doute que le travail soit un bon exemple/indicateur de quoi ce soit sur le pouvoir légal aux USA.

votre avatar

(quote:2133305:127.0.0.1)
Autant qu’un douanier francais


Sur cette photo, le douanier français opère dans l’espace public et contrôle des personnes qui peuvent se révéler dangereuses.
Quand on est sur un contrôle de documents administratifs dans une entreprise, je ne vois pas bien l’intérêt de porter une arme.
Ensuite, l’inspecteur des impôts français qui s’est fait tuer par un contribuable qu’il contrôlait ne serait peut-être pas du même avis que moi, je te l’accorde.

votre avatar

(quote:2133305:127.0.0.1)
La Hadopi n’exécute pas la sanction: elle n’a pas des officiers qui vont dans le DSLAM débrancher ta ligne.


N’est-ce pas la Hadopi qui contacte directement ton fournisseur d’accès pour lui demander de couper ? Là pour Clearview, c’est pareil, il faut juste envoyer une requête aux FAI, pas besoin d’envoyer un cow-boy dans chaque DSLAM.

votre avatar

Thorgalix_21 a dit:


Sur cette photo, le douanier français opère dans l’espace public et contrôle des personnes qui peuvent se révéler dangereuses. Quand on est sur un contrôle de documents administratifs dans une entreprise, je ne vois pas bien l’intérêt de porter une arme.


Je ne vois pas bien l’intérêt non plus. Cela dit, un officier de la FDA ca peut aller partout pour faire son inspection, y compris dans les entrepôts, les camions… Donc ca pourrait dégénérer si l’entreprise a qqc a cacher.




darkjack a dit:


Tu m’avais habitué à mieux, vraiment foireuse ta comparaison :)


Pourtant c’est assez comparable. Ca c’est une image d’inspection FDA.
Ca ressemble assez a ce que ferait les douanes ou la répression des fraudes.

votre avatar

S’ils refusent de payer, on les menace de créer avec une IA des millions de faux profils afin de pourrir leur base de données !

La CNIL inflige 5 millions d’euros d’astreinte à Clearview, mais comment contraindre à payer ?

  • Et maintenant, comment faire appliquer ?

  • Un court délai avant la liquidation de l'astreinte

  • Dossier non clôturé

Fermer