La présidente de la CNIL a mise en demeure Clearview AI de cesser son « traitement illicite », et lui ordonne de « supprimer les données dans un délai de 2 mois ». La société aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux, et se serait ainsi approprié plus de 10 milliards d’images à travers le monde, sans avoir pour autant demandé ni donc obtenu le consentement des personnes fichées de la sorte.
Son objectif est de commercialiser son service de reconnaissance faciale à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction. À la suite de plusieurs plaintes reçues de particuliers, la CNIL avait commencé à enquêté au sujet de Clearview AI en mai 2020. L'ONG britannique Privacy International l'avait également saisie en mai 2021.
La Commission précise avoir « coopéré avec ses homologues européens afin de partager le résultat des investigations, chaque autorité étant compétente pour agir sur son propre territoire en raison de l’absence d’établissement de la société Clearview AI en Europe ». Or, l'entreprise ne respecte pas le RGPD, à mesure que les données sont collectées et exploitées « sans base légale », et que la réponse aux demandes d’accès aux données ne seraient pas « satisfaisante ».
La CNIL a dès lors mis Clearview AI en demeure de :
- cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale ;
- faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’effacement formulées.
Commentaires (18)
C’est pas trop tôt !
Je vois pas comment en deux mois ils vont pouvoir gérer ça.
Quand on voir le CV des gens de Clearview AI…
“La société est fondée en 2017 par Hoan Ton-That et Richard Schwartz, et a été initialement financée par le multimilliardaire Peter Thiel, fondateur de Palantir Technologies et membre du conseil d’administration de Facebook”(Wikipedia)
Ne serions-nous pas dans Lord of War, en mèmes dans le texte ?
Hello, je n’ai peut-être pas bien compris. Si cette société est une sorte “d’aspirateur à données”, une grosse partie de (si ce n’est quasi toute) la population est concernée, sans vraiment savoir où sa photo aurait été “aspirée”. Dès lors, à qui et comment formuler une demande d’effacement ? Merci
C’est pour ça qu’ils doivent simplifier le système, je suppose que c’est techniquement faisable vu qu’ils ont un formulaire pour la Californie et l’Illinois.
Sinon je suppose qu’il faut leur envoyer un mail, avec ton nom … et ta photo
Ils demandent aussi une pièce d’identité.
Mais à lire la CNIL, le résultat est incertain et peu probant.
j’imagine qu’avec leur super méga logiciel, ils ont besoin de lui soumettre ta photo pour te retrouver, mais bon : leur donner une donnée importante à une entité qui l’a prise sans demander ton avis, c’est quand même une situation énorme ! bonjour la confiance :
“tenez ma photo conforme à ma carte d’identité biométrique, vous me promettez de tout effacer hein ?”
C’est un super-mème.
En fait il faudrait avoir la carte de son interlocuteur pour résoudre l’inégalité. Un peu comme avec les vigiles qui sont l’équivalent dans le réel-verse.
Mais bon, au poker les états n’ont pas toujours une quinte flush…
C’est ce qu’ils indiquent sur le formulaire de suppression pour les Californiens “Pour supprimer la photo il nous faut une photo”
Je ne sais pas si ils conservent la photo qu’ils reçoivent, mais ça pourrait bien être le cas.
Du coup soit je leur laisse ma veille photo facebook, soit je leur envoie une récente …
Oui, mais ta vieille photo Facebook ne pourra pas être utilisée par un État pour te reconnaître, ça vaut le coup d’être tenté.
Oui en y réfléchissant … je n’ai aucuns risque à leur envoyer la veille photo de profil vu qu’ils l’ont déjà récupérée
Tu m’étonnes
En tant qu’entreprise étrangère sans établissement en Europe, Clearview se fout complètement des avis et mises en demeure de la CNIL…
Ca ressemble à l’aspiration sauvage de photos que Zuckerberg faisait dans le film The Social Network pour construire sa base de photos pour Facemash XD
La CNIL peut-elle vraiment mettre une amende à une société qui n’a même pas en Europe ? Quels sont ses moyens pour être certaine d’être payer ? Vu leur comportement WTF, je doute que les gros yeux de la CNIL leur fasse peur. Ils ne doivent même pas reconnaître son autorité !
Autre question, que veut dire “cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale” ? Ils aspirent tout ce qu’ils trouvent, comment distinguer ce qui vient d’une personne sur le territoire français, d’une personne sur un autre territoire ? Cela dépend du site aspiré ? Copains d’avant c’est français, Facebook c’est stazunien ? Ou des métadata de la photo ?
En tout cas ça donne une bonne réponse à tous ceux qui répondent qu’ils n’ont rien à cacher quand on leur parle d’étaler leurs vies en photos sur les rézosocio. On pourra les remercier d’avoir mis à profit leurs visages pour parfaire l’outil de reco faciale
Oui.
Aucuns. Mais voir plus bas.
Je pense qu’ils ne connaissent pas effectivement, ils ne parlent ni du RGPD ni de l’UE sur leur site.
Par contre, ça peut être compliqué d’avoir une dette dans les différents pays de l’UE, c’est un coup pour qu’un dirigeant de la société se fasse arrêter à un aéroport pour non paiement des amendes et il peut même avoir un mandat d’arrêt international contre lui, et là, c’est assez compliqué de prendre l’avion pour aller vendre ta solution à des pays autres que les USA.
C’est leur problème : le RGPD est applicable non en fonction du lieu des serveurs où se fait un traitement mais en fonction du lieu de résidence (l’UE) de la personne dont on traite les données personnelles.
Et s’ils ne savent pas faire la différence, qu’ils apprennent (ça doit être possible en étudiant un minimum le contenu du site où tu as récupéré la photo). S’ils ne savent pas faire et qu’ils craignent des ennuis avec la France et les autres pays de l’UE, qu’ils arrêtent leur business puant. Je ne les pleurerai pas.
Et pour les erreurs qu’ils feront, il faut que leur processus de suppression des données soit lui aussi en conformité au RGPD.
Là, on est d’accord (au moins sur la première partie), sur l’amélioration de leurs outils, je n’en sais rien.
Ils disent bien qu’elle est dés-identifiée (donc gardée).