Aux Pays-Bas, une amende de 30,5 millions d’euros contre Clearview pour violation du RGPD

Par Mathilde Saliou

Le 04 septembre à 09h30
Droit
2 min

L’Autoriteit Persoonsgegevens (AP), l'agence hollandaise de la protection des données, a infligé une amende de 30,5 millions d’euros à la sulfureuse Clearview AI pour violation du règlement général sur la protection des données (RGPD).

Dans un communiqué, l’agence explique que l’entreprise a créé « une base de données illégale de milliards de photos de visages », parmi lesquelles certaines concernent des citoyens des Pays-Bas.

Clearview est par ailleurs accusée d’avoir construit son jeu de données – dont son CEO affirmait début 2023 qu’il contenait 30 milliards d’images – sans informer les citoyens concernés.

« La reconnaissance faciale est une technologie hautement intrusive, que l’on ne peut pas simplement lâcher sur n’importe qui dans le monde » a déclaré le président de l'AP, Aleid Wolfsen.

De fait, Clearview est dans le viseur de multiples autorités, dont la CNIL australienne, qui l’a sommée de supprimer les photos de ses ressortissants, ou la CNIL française, qui lui a infligé trois amendes – Clearview est sous le coup d'une dizaine d'actions des CNIL européennes, dont plusieurs s'accompagnent d'amende, selon le décompte de GDPRhub.

Problème : dans le cas français, Clearview refuse de payer. Le futur dira si et comment son homologue néerlandaise obtient de meilleurs résultats.

Commentaires (7)


fred42 Abonné
Le 04/09/2024 à 09h45
Vivement qu'un responsable de la société mette les pieds en France, dans l'UE ou en Australie.

Ils vont finir par avoir du mal à voyager...
fdorin Abonné
Le 04/09/2024 à 10h33
Il faudrait qu'il y a ait un mandat d'arrêt contre le PDG. Est-ce le cas ?
SebGF Abonné
Le 04/09/2024 à 13h22
Problème : dans le cas français, Clearview refuse de payer. Le futur dira si et comment son homologue néerlandaise obtient de meilleurs résultats.


Les autorités de protection des données ne peuvent pas escalader l'affaire à la commission européenne ?

Car à part une interdiction d'exercer dans l'UE, je ne vois pas comment débloquer la situation perso.
fdorin Abonné
Le 04/09/2024 à 14h04
Je ne vois pas en quoi une interdiction d'exercer dans l'UE changerait les choses. Si, peut être en "criminalisant" leur clientèle européenne.

Mais à part ça... Clearview n'a rien en Europe. Donc difficile de faire pression.

Il faudrait plutôt un accord de collaboration entre l'Europe et d'autres pays pour tout ce qui concerne la protection des données personnelles. Certains sont justement en train de se doter d'une législation plus ou moins équivalente au RGPD.
SebGF Abonné
Le 04/09/2024 à 14h43

fdorin

Je ne vois pas en quoi une interdiction d'exercer dans l'UE changerait les choses. Si, peut être en "criminalisant" leur clientèle européenne.

Mais à part ça... Clearview n'a rien en Europe. Donc difficile de faire pression.

Il faudrait plutôt un accord de collaboration entre l'Europe et d'autres pays pour tout ce qui concerne la protection des données personnelles. Certains sont justement en train de se doter d'une législation plus ou moins équivalente au RGPD.
S'ils interdisent de commercer avec l'entreprise, ses clients dans l'EEA pourraient encourir des sanctions économiques. Comme avec la Russie aujourd'hui.

C'est dans ce sens là que j'entendais une interdiction d'exercer. Bannir cet acteur du marché unique en gros.

Sauf s'il ne commerce absolument pas avec l'espace économique européen, je sais pas, mais j'en doute quand même.
fred42 Abonné
Le 04/09/2024 à 16h11

SebGF

S'ils interdisent de commercer avec l'entreprise, ses clients dans l'EEA pourraient encourir des sanctions économiques. Comme avec la Russie aujourd'hui.

C'est dans ce sens là que j'entendais une interdiction d'exercer. Bannir cet acteur du marché unique en gros.

Sauf s'il ne commerce absolument pas avec l'espace économique européen, je sais pas, mais j'en doute quand même.
En tout cas, ils le disent en (mauvaise) justification que le RGPD ne leur est pas applicable :
"Clearview AI n'a pas de siège social aux Pays-Bas ou dans l'UE, elle n'a pas de clients aux Pays-Bas ou dans l'UE, et n'entreprend aucune activité qui signifierait autrement qu'elle est soumise au RGPD"


Je dis "mauvaise" parce que traiter des données personnelles comme des photos de ressortissants de l'UE sans consentement est interdit même si ce traitement est fait aux USA.
SebGF Abonné
Le 04/09/2024 à 17h20

fred42

En tout cas, ils le disent en (mauvaise) justification que le RGPD ne leur est pas applicable :
"Clearview AI n'a pas de siège social aux Pays-Bas ou dans l'UE, elle n'a pas de clients aux Pays-Bas ou dans l'UE, et n'entreprend aucune activité qui signifierait autrement qu'elle est soumise au RGPD"


Je dis "mauvaise" parce que traiter des données personnelles comme des photos de ressortissants de l'UE sans consentement est interdit même si ce traitement est fait aux USA.
Je dis "mauvaise" parce que traiter des données personnelles comme des photos de ressortissants de l'UE sans consentement est interdit même si ce traitement est fait aux USA.


Tout à fait.

Cette affaire permet d'éprouver l'extraterritorialité du RGPD pour le coup. Mais je pense que ça ne peut se jouer qu'à l'échelle politico-économique, donc commission européenne avec les USA. Ou via la possibilité d'un mandat d'arrêt à l'échelle de l'UE comme vous l'avez évoqué.
Fermer