[MàJ] noyb poursuit au pénal la reconnaissance faciale de Clearview et ses dirigeants

Mise à jour 29 octobre : ajout de la réponse de la CNIL sur la clôture du dossier Clearview.

Article original du 28 octobre :

noyb vient d'annoncer le dépôt d'une plainte devant la justice autrichienne contre Clearview mais aussi ses dirigeants. Si les reproches formulés par l'association de Max Schrems ne sont pas nouveaux, elle utilise maintenant un autre outil légal contre l'entreprise de reconnaissance faciale : la plainte au pénal.

En effet, cela fait quatre ans que le dossier Clearview est passé devant différentes autorités européennes de protection des données. En 2021, Privacy International, le Hermes Center for Transparency and Digital Human Rights, Homo Digitalis et noyb déposaient des plaintes devant la CNIL et ses homologues italienne, grecque, britannique et autrichienne.

Une base de données de plus de 10 milliards d’images

Les associations expliquaient que Clearview utilisait un "dispositif automatisé de récupération d'images", soit un outil qui explore le web et récupère toutes les images qu'il détecte comme contenant des visages humains ».

Suite à cette saisie, la CNIL a condamné en octobre 2022 l'entreprise états-unienne à 20 millions d’euros d’amende. L'autorité a constaté que Clearview a aspiré « plus de 10 milliards d’images à travers le monde » sans le consentement des intéressés et « sans base légale », et donc en violation du RGPD. D'autres autorités ont aussi prononcé des amendes : 20 millions d'euros en Italie, le même montant en Grèce et 7,5 millions de livres en Grande-Bretagne. L'autorité autrichienne n'a pas infligé d'amendes à Clearview tout en considérant que son utilisation des données était illégale [PDF].

Mais huit mois après, constatant que l'entreprise ignorait sa décision, la CNIL a infligé 5 millions d’euros d’astreinte à Clearview. Le problème reste que l'autorité a très peu de moyen de récupérer ces amendes et ainsi de faire respecter le RGPD à une entreprise qui n'a pas de siège social en Europe.

Questionnée par Next sur ses moyens de faire respecter sa décision, l'autorité avait répondu à l'époque que, « s’agissant de l’injonction, la CNIL continue de se rapprocher de son homologue américain, la Federal Trade Commission (FTC), pour évoquer la façon dont nous pourrions nous assurer de l’exécution de l’injonction prononcée à l’encontre de la société ». Pour l'astreinte, elle affirmait :« le Ministère de l’Économie et des Finances se rapproche de la FTC pour envisager les moyens existants et possibles à mettre en œuvre pour recouvrer l’amende ainsi que l’astreinte ».

Selon noyb, Clearview a fait de même pour toutes les décisions des autorités européennes, ne faisant appel que devant l'autorité britannique (le sujet est encore en cours de discussion au travers des diverses instances du Royaume-Uni).

Pour la CNIL, sa sanction permet de bloquer l'installation de Clearview dans l'UE

Ce 29 octobre, la CNIL a répondu à Next qu' « en 2023, en l’absence d’éléments attestant de la mise en conformité, la CNIL a liquidé l’astreinte via l’adoption d’une sanction de 5,2 millions d’euros supplémentaires. Du côté de la CNIL, à ce jour, le dossier est donc clos ».

Elle ajoute qu'elle « ne perçoit pas le montant des amendes, il est versé au budget général de l'État. Le montant de l'amende est recouvré par les services du Trésor public. Lorsque le débiteur est en dehors de l’Union européenne, des procédures de coopération internationales existent mais relèvent de la voie diplomatique et elles sont sous la responsabilité du ministère de l'Économie et des Finances. Contrairement à la majorité des dossiers, à ce jour, le Trésor public n’a pas perçu le montant des amendes émises ».

L'autorité explique qu' « un des effets de la sanction est d’empêcher que cette société ne développe son activité au sein de l’Union européenne et que des organismes français ou européens aient recours à ses services ».

Enfin, elle « alerte les personnes sur les dangers liés au fait de mettre en ligne des photos d’eux ou de leurs proches ». « En rendant ces photographies accessibles à tous, ils risquent d’alimenter les bases de données de reconnaissance faciale comme celle de Clearview », conclut-elle.

Le pénal comme solution ?

L'association a donc décidé, comme elle l'explique dans un communiqué, de passer par une autre voie : la justice pénale. Ainsi, elle attaque Clearview devant un tribunal autrichien en s'appuyant sur la transposition du RGPD dans le droit du pays qui prévoit des sanctions pénales pour certaines violation du règlement européen. Notamment, une disposition prévoit une peine d'emprisonnement d'un an maximum ou une amende (d'un maximum de 720 jours-amendes), pour les personnes ayant l'intention de s'enrichir en rendant accessible à un tiers ou publiant des données à caractère personnel en les ayant obtenues de manière illicite.

noyb souligne que, « contrairement aux violations du RGPD, les infractions pénales permettent également de prendre des mesures à l'encontre des dirigeants et de recourir à l'ensemble des procédures pénales, y compris à l'échelle de l'UE ». Elle ajoute que « si celle-ci aboutit, Clearview AI et ses dirigeants pourraient être condamnés à des peines de prison et être tenus personnellement responsables, en particulier s'ils se rendent en Europe ».

L'association ne communique pas le texte de sa plainte mais Next a demandé à y accéder et nous mettrons à jour cet article au besoin.

Comme nous l'expliquions récemment, le co-fondateur de Clearview avait en tête, dès l’origine du projet, la reconnaissance faciale des immigrants et la surveillance des frontières étasuniennes. L'entreprise propose sur son site web aux autorités d' « exploiter le pouvoir de la reconnaissance faciale dans les enquêtes criminelles ».