La CNIL inflige 5 millions d’euros d’astreinte à Clearview, mais comment contraindre à payer ?
L'entreprise de reconnaissance faciale cache son visage à la CNIL
Le 15 mai 2023 à 14h43
5 min
Droit
Droit
La CNIL a décidé de « liquider » l'astreinte à l'encontre de Clearview, alors que l'entreprise ne veut toujours pas payer l'amende de 20 millions d'euros que l'autorité lui a infligée. Se sont ajoutés 5,2 millions d'euros pour le retard entre décembre 2022 et février 2023. Maintenant, la CNIL cherche un moyen de contraindre l'entreprise à la payer.
La semaine dernière, la CNIL a annoncé avoir « décidé de liquider l’astreinte prononcée à l’encontre de Clearview AI ». À la sanction de 20 millions d'euros qu'elle a prononcée en octobre, s'ajoute donc une nouvelle amende de 5,2 millions à l'encontre de la société de reconnaissance biométrique faciale américaine.
- RGPD : Clearview AI condamné à 20 millions d'euros d'amende, pour la 3e fois
- Reconnaissance faciale : Clearview AI mis en demeure par la CNIL
En octobre, la CNIL enjoignait Clearview à « cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées ». Mais depuis, la société fait la sourde oreille et n'a ni payé son amende ni « transmis aucun élément permettant d’attester de sa mise en conformité à l’injonction prononcée à son encontre » selon la délibération de l'Autorité publiée le 10 mai dernier.
Cette sanction avait été prise car l'entreprise « collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web », sur les réseaux sociaux, mais aussi sur les sites web d'entreprises présentant leurs salariés ou en extrayant les visages de vidéos disponibles en ligne.
Et Clearview est récidiviste. C'était la quatrième amende qu'elle recevait en Europe sur le sujet : deux amendes de 20 millions d'euros en Italie, en mars 2022, ainsi qu'en Grèce en juillet 2022, et de 7,5 millions de livres en Grande-Bretagne en mai.
Pour s'assurer le paiement de cette amende, la CNIL l'avait assortie d'une « injonction d’une astreinte de cent mille euros (100 000 euros) par jour de retard à l’issue d’un délai de deux mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ».
C'est l'addition des jours de retard décomptés par la CNIL qui, au final, fait un total de 5,2 millions d'euros à payer en plus pour l'entreprise américaine.
Et maintenant, comment faire appliquer ?
Mais le problème, c'est que si cette décision contraint juridiquement et théoriquement Clearview à payer ces 25 millions d'euros auprès de la CNIL, l'autorité n'a pas de moyen direct pour contraindre l'entreprise à payer et à appliquer son injonction, c'est-à-dire, l'arrêt de la collecte d'images.
Depuis le début du dossier, l'entreprise ne montre aucune volonté de collaborer avec l'Autorité française ni à se plier à ses injonctions. Dans sa délibération d'octobre déjà, la CNIL soulignait que l'entreprise n'avait « présenté aucune observation en défense » et n'avait pas « répondu de manière satisfaisante aux demandes de la CNIL dans les délais impartis », avant de ne répondre « que de manière très partielle » au questionnaire de contrôle qui lui avait été adressé.
Quand on lui demande ce qu'elle compte faire, l'autorité répond à Next INpact que « s’agissant de l’injonction, la CNIL continue de se rapprocher de son homologue américain, la Federal Trade Commission (FTC), pour évoquer la façon dont nous pourrions nous assurer de l’exécution de l’injonction prononcée à l’encontre de la société. ».
En ce qui concerne l'astreinte, « le Ministère de l’Économie et des Finances se rapproche de la FTC pour envisager les moyens existants et possibles à mettre en œuvre pour recouvrer l’amende ainsi que l’astreinte », explique-t-elle.
Un court délai avant la liquidation de l'astreinte
Une autre question se pose : celle du montant de la liquidation de l'astreinte. Au regard des 20 millions d'euros de l'amende initiale, si les 5,2 millions d'euros ne sont pas ridicules, ils n'ont pas fait plier Clearview.
La CNIL n'utilise qu'exceptionnellement la liquidation. C'est en 2021 qu'elle l'a fait pour la première fois, expliquait-elle en janvier 2022 dans son bilan annuel. Et, à l'époque, elle précisait que « la société concernée, initialement sanctionnée d’une amende de 7 300 euros, a dû payer 65 000 euros supplémentaires car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction ». Le montant de cette première liquidation était huit fois supérieur à l'amende initiale.
Ici, la liquidation de l'astreinte de Clearview correspond à un peu plus d'un quart de l'amende que lui a infligée la CNIL.
Deux paramètres entrent en ligne de compte : le montant de l'astreinte journalière (100 000 euros) et le nombre de jours décomptés avant la liquidation de l'astreinte.
La délibération de l'astreinte indique que la période prise en compte pour cette liquidation est du 19 décembre 2022 au 9 février 2023, ce qui fait bien 52 jours. « Sur le plan procédural, les délais normaux ont été respectés : deux mois d’injonction ainsi que l'engagement du contradictoire et les droits de la défense » précise la CNIL. Le 9 février est, de fait, la date de réunion de la formation restreinte de l'autorité qui a décidé de cette liquidation.
Dossier non clôturé
La CNIL affirme à Next INpact qu' « il faut savoir que cette liquidation est sans préjudice d’éventuelles autres actions si jamais la mise en conformité n’est pas effective ». Le dossier de Clearview à la CNIL ne serait pas forcément refermé et l'entreprise pourrait à nouveau recevoir des nouvelles de l'autorité.
Interrogé par nos soins, l'avocat Alexandre Archambault confirme : « la liquidation de l'astreinte ne signifie pas fin du dossier, car l'injonction n'est pas clôturée. »
Mais tant que l'autorité ne trouve pas un moyen de contraindre l'entreprise à payer les amendes qu'elle lui inflige, ces millions d'euros d'amende restent, pour le moment, très virtuels.
La CNIL inflige 5 millions d’euros d’astreinte à Clearview, mais comment contraindre à payer ?
-
Et maintenant, comment faire appliquer ?
-
Un court délai avant la liquidation de l'astreinte
-
Dossier non clôturé
Commentaires (33)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 15/05/2023 à 15h06
Et bas c’est facile, il suffit d’un blocage administratif de leur site web avec redirection vers le site du ministère de l’intérieur jusqu’à ce qu’ils paient.
Le 15/05/2023 à 15h08
J’imagine les pays européens qui mettent une demande d’extradition sur la tête des dirigeants de Clearview…
Mais ça n’arrivera pas, c’est pas comme s’ils avaient téléchargé un mp3 de jjg.
Le 15/05/2023 à 15h17
Qu’ils ne lâchent pas l’affaire. Je vois là une cartouche pour le prochaine coup. La prochaine boite FR à se faire déboîter par le DOJ, on pourra leur dire qu’il fallait que ça aille dans les deux sens…
Le 15/05/2023 à 15h34
Intéressant ça.
Si les autorités US y mettent de la mauvaise volonté que se passe t-il ?
A suivre…
Le 15/05/2023 à 16h03
Amusant. Quand les Stazunis infligent une sanction à une société française ou européenne, ils ont les moyens de lui tordre le bras. L’Europe aurait un bon moyen ici de montrer qu’elle est utile. Au lieu de ça, on va encore faire des discours, et dans quelques jours tout sera oublié.
Les boss de Clearview doivent bien se marrer : s’ils jouent à ce jeu, c’est qu’ils savent qu’ils ne risquent pas grand-chose.
Le 15/05/2023 à 16h11
Si on ne peut pas les atteindre eux, serait-il possible de mettre la pression sur leurs clients en Europe ?
Le 15/05/2023 à 16h19
il ne reste qu’une seule solution…
Le 16/05/2023 à 05h56
Moi, j’aurais dit d’envoyer notre bruno national
Le 15/05/2023 à 16h22
A part une interdiction à Clearview d’exercer sur le territoire français (voire de l’UE vu que c’est une violation répétée du RGPD dans ce multiples Etats-membres), y’aura pas 36 moyens.
Cela démontre l’impuissance des organismes publics en la matière hélas.
Le 15/05/2023 à 18h45
Il ne peut pas y avoir une action au niveau européen ? Ça m’a pas l’air très RGPD friendly tout ça.
Le 15/05/2023 à 19h12
Ben sinon il faut coller aux dirigeants un mandat d’arrêt international.
Et dès qu’ils débarquent en europe , paf, en taule jusqu’à ce que l’entreprise paie.
Valable aussi pour les conjoints et les enfants.
Les USA ne se gênent pas pour faire ce genre de chose:
https://www.capital.fr/economie-politique/affaire-alstom-frederic-pierucci-raconte-lenfer-quil-a-vecu-aux-etats-unis-1324979
Ouest France
Evidamment, interdiction d’opération sur le territoire européen, interdiction à toute entreprise européenne de travailler avec eux de quelque manière que ce soit sous peine d’amende, y compris à plusieurs niveau , au même titre que si Clearview était un cartel de narcotique.
(comme la BNP par les USA : https://www.lemonde.fr/economie/article/2015/05/01/la-bnp-paribas-formellement-condamnee-a-une-amende-record-aux-etats-unis_4626207_3234.html )
A un moment, il faut avoir le courage de ses opinions et montrer aussi un rapport de force.
Sinon c’est que des mots & du blahblah et le signal envoyé est que l’EU est un terrain de jeu sans risque financier.
Le 15/05/2023 à 20h27
Ce serait l’idéal mais l’Europe ne fera jamais une telle chose. Elle ne s’autorise même pas à faire du protectionnisme envers les produits importés, avec des entreprises basées hors CEE alors que les Etats Unis et la Chine ne s’embettent pas avec cela
Le 16/05/2023 à 04h24
La CNIL a seulement un pouvoir de sanction, mais pas de pouvoir judiciaire…
Le 15/05/2023 à 20h29
pourquoi une entreprise etrangere devrait elle se plier a la CNIL ?
Elle collecte des infos publiques non ?
Le 16/05/2023 à 04h19
Mélange de 2 sujets totalement distincts et disjoints sans rapport.
Territorialité du droit vs respect de la vie privée.
Une entreprise française ou européenne n’aurait pas le droit d’aspirer des données publiques mais néanmoins personnelles comme le fait ClearView. Ben oui le but de ClearView c’est de coller une étiquette avec le nom et prénom sur toutes les photos aspirées - sans le consentement de la personne bien sûr.
Ya un truc qui s’appelle le GDPR en Europe par exemple pour protéger de ce genre d’abus même avec des données publiques. ( consentement)
Une photo peut être publique sans que cela donne droit automatiquement à une autorisation commerciale par une tierce partie d’autant plus que les photos ici sont utilisées pour identifier la personne et la mettre dans une immense base de données.
Pas cool..
Le 16/05/2023 à 04h10
Mon petit doigt me dit que si la FTC faisait le même type de requête auprès de la CNIL, ça serait assez, voire très rapidement plié… Ni une, ni deux, emballé…
Le 16/05/2023 à 05h18
Un traitement de données personnelles exige toujours le consentement éclairé et positif (“qui ne dit mot consent” n’existe pas au sens du RGPD, c’est non par défaut) de la personne. Quand bien même la donnée serait déjà publiée publiquement et si aucune base légale ne vient le justifier.
C’est la raison pour laquelle le scrapping des médias sociaux est une pratique qui peut être illégale sans fondement législatif associé (comme le cas du fisc par ex).
Le 19/05/2023 à 20h20
mais ca c’est une regle Francaise non ?
Le 20/05/2023 à 13h49
Non, le consentement est définit par le RGPD et concerne tout citoyen de l’UE et toute entreprise exerçant au sein de celle-ci ou traitant des données personnelles de ressortissants de l’UE.
Le 16/05/2023 à 05h20
Il est temps que le dossier soit transmis aux autorités judiciaires et que des poursuite internationales soient engagés
Le 16/05/2023 à 05h43
Ce sont des freins que nous-même on se met.
Les USA n’ont pas ce genre de considérations quand ils décident de séquestrer des gens ou infliger des amendes.
Le 16/05/2023 à 06h20
+1
“A un moment, il faut avoir le courage de ses opinions et montrer aussi un rapport de force.
Sinon c’est que des mots & du blahblah et le signal envoyé est que l’EU est un terrain de jeu sans risque financier.”
Totalement d’accord!
Le 16/05/2023 à 07h11
Les administrations/commissions fédérales sont des autorités légales avec le pouvoir de faire appliquer la loi => elles ont une juridiction et des forces de l’ordre.
Quand on a une inspection de la FDA dans ma boite (sur le territoire US), l’officier US qui vient a un flingue à la ceinture. Et il vient juste pour contrôler de la paperasse.
Est-ce qu’on est prêt en France à ce qu’une administration/commission (donc un groupe de gens nommés par le gouvernement) fasse sa propre police+justice ? J’en doute. Y a qu’a voir dans les commentaires de NXI comment sa gueule dés qu’une décision administrative un peu contraignante (blocage DNS ?) ne passe pas par un sacrosaint tribunal judiciaire.
Le 16/05/2023 à 08h00
Déjà je pense que si l’on veux un certain poids il faut que ça se joue au niveau de l’EU et pas “juste” de la France.
D’autre part, je ne m’oppose pas au fait que la sanction prononcée par la CNIL soit avalisée par la justice , même EU, avant d’être effectivement imposée à une société hors EU.
Aux USA, Frédéric Pierucci a bien été capturé et placé en prison après une décision de justice (basée sur la loi FCPA).
Dans ce cas précis, Clearview ne fait aucun cas de la RGPD (et ne s’en cache pas), qui est bien une loi européenne qui se veux extra-territoriale.
Alors oui c’est pas la CNIL française qui faire quoique ce soit par contre niveau européen là il y a clairement de la matière. A nous, en tant qu’européens, de voir si l’on décide d’aller sur ce terrain-là avec la même violence que les USA quand ils instrumentalisent leurs propre système judiciaire.
Le 16/05/2023 à 08h13
La Hadopi ?
Le 16/05/2023 à 08h20
A-t-il réellement besoin d’un flingue pour réaliser son contrôle ?
Le 16/05/2023 à 10h08
La Hadopi n’exécute pas la sanction: elle n’a pas des officiers qui vont dans le DSLAM débrancher ta ligne.
Autant qu’un douanier francais
Le 16/05/2023 à 15h57
Tu m’avais habitué à mieux, vraiment foireuse ta comparaison :)
+1
Le 16/05/2023 à 11h18
Aux USA, ils ont un rapport curieux avec les armesà feu: ils se promènent même avec pendant leur courses ou à l’école. Donc, je doute que le travail soit un bon exemple/indicateur de quoi ce soit sur le pouvoir légal aux USA.
Le 16/05/2023 à 12h01
Sur cette photo, le douanier français opère dans l’espace public et contrôle des personnes qui peuvent se révéler dangereuses.
Quand on est sur un contrôle de documents administratifs dans une entreprise, je ne vois pas bien l’intérêt de porter une arme.
Ensuite, l’inspecteur des impôts français qui s’est fait tuer par un contribuable qu’il contrôlait ne serait peut-être pas du même avis que moi, je te l’accorde.
Le 16/05/2023 à 14h08
N’est-ce pas la Hadopi qui contacte directement ton fournisseur d’accès pour lui demander de couper ? Là pour Clearview, c’est pareil, il faut juste envoyer une requête aux FAI, pas besoin d’envoyer un cow-boy dans chaque DSLAM.
Le 16/05/2023 à 16h18
Je ne vois pas bien l’intérêt non plus. Cela dit, un officier de la FDA ca peut aller partout pour faire son inspection, y compris dans les entrepôts, les camions… Donc ca pourrait dégénérer si l’entreprise a qqc a cacher.
Pourtant c’est assez comparable. Ca c’est une image d’inspection FDA.
Ca ressemble assez a ce que ferait les douanes ou la répression des fraudes.
Le 17/05/2023 à 06h32
S’ils refusent de payer, on les menace de créer avec une IA des millions de faux profils afin de pourrir leur base de données !