Cle­ar­view AI men­acée d’a­st­rein­te si elle con­ti­n­ue à refu­ser de coopérer

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • Le com­mis­saire à la pro­tec­tion des don­nées de Ham­bourg exi­ge des infor­ma­ti­ons de Cle­ar­view AI ; en cas de répon­se incom­plè­te, une ast­rein­te pou­vant aller jus­qu’à 170’000 euros est encourue.
  • Modè­le éco­no­mi­que : coll­ec­te mas­si­ve de plus de trois mil­li­ards de pho­tos acce­s­si­bles au public et ana­ly­se bio­mé­tri­que, ce qui rend les exi­gen­ces du RGPD problématiques.
  • Les auto­ri­tés de con­trô­le euro­pé­en­nes ne voi­ent actu­el­le­ment aucu­ne base juri­di­que pour l’uti­li­sa­ti­on à des fins répres­si­ves ; la coopé­ra­ti­on inter­na­tio­na­le ent­re les auto­ri­tés de pro­tec­tion des don­nées inten­si­fie les contrôles.

En février 2020, une plain­te a été dépo­sée cont­re Cle­ar­view AI auprès du com­mis­saire à la pro­tec­tion des don­nées de Ham­bourg. L’entre­pri­se exploi­te une appli­ca­ti­on de recon­nais­sance facia­le. Selon l’au­to­ri­té, Cle­ar­view AI n’a­vait pas suf­fi­sam­ment répon­du aux que­sti­ons posées sur son modè­le com­mer­cial. Avec une deman­de for­mel­le Avis de recher­che de rens­eig­ne­ments le con­trô­leur de la pro­tec­tion des don­nées veut main­tenant forcer la coopé­ra­ti­on de l’entre­pri­se. Si l’entre­pri­se ne répond pas de maniè­re com­plè­te et per­ti­nen­te aux que­sti­ons posées dans la noti­fi­ca­ti­on avant la mi-sep­tembre, elle ris­que une amen­de pou­vant aller jus­qu’à 170 000 euros.

Modè­le d’entre­pri­se de Cle­ar­view AI

Le site Appli­ca­ti­on de recon­nais­sance facia­le de Cle­ar­view AI se base sur une archi­ve de pho­tos dis­po­ni­bles publi­quement sur Inter­net. Cle­ar­view AI a appa­rem­ment copié plus de trois mil­li­ards de pho­tos, par exemp­le de réseaux soci­aux com­me Face­book, Insta­gram et Twit­ter. Par­mi elles, on trou­ve­r­ait sur Pho­tos de per­son­nes de l’U­ni­on euro­pé­en­ne de l’or­di­na­teur. La start-up a ensuite ana­ly­sé ces pho­tos en fonc­tion des don­nées bio­mé­tri­ques. Le logi­ciel doit aider les auto­ri­tés de sécu­ri­té à iden­ti­fier des per­son­nes incon­nues à par­tir de pho­tos. Lorsqu’un cli­ent de Cle­ar­view télé­char­ge une pho­to d’u­ne per­son­ne dans l’ap­pli­ca­ti­on, Cle­ar­view AI la compa­re avec les pho­tos de sa base de données.

Les exi­gen­ces du RGPD dev­rai­ent poser des défis au modè­le d’entreprise

Cle­ar­view AI n’a­vait pas répon­du aux que­sti­ons posées jus­qu’à pré­sent par le com­mis­saire à la pro­tec­tion des don­nées de Ham­bourg, prin­ci­pa­le­ment par­ce que, selon elle, le règle­ment géné­ral euro­pé­en sur la pro­tec­tion des don­nées (RGPD) ne s’ap­pli­que pas du tout. Le com­mis­saire à la pro­tec­tion des don­nées de Ham­bourg n’est pas du même avis. Cle­ar­view AI a éga­le­ment des cli­ents dont les employés se trou­vent dans l’UE et dont le com­porte­ment en tant qu’­uti­li­sa­teurs de l’ap­pli­ca­ti­on est en tout cas obser­vé par l’in­stal­la­ti­on de coo­kies. Con­for­mé­ment à l’ar­tic­le 3, para­gra­phe 2, point b), du RGPD, le champ d’ap­pli­ca­ti­on du RGPD est ouvert et Cle­ar­view AI est tenue de four­nir des informations.

L’ar­riè­re-plan de la décis­i­on ne sem­ble tou­te­fois pas être le sui­vi des uti­li­sa­teurs. Le pré­po­sé ham­bour­geois à la pro­tec­tion des don­nées se mont­re plutôt pré­oc­cu­pé par la coll­ec­te “mas­si­ve et anar­chi­que” d’i­mages. qui rend “les per­son­nes iden­ti­fi­a­bles par ana­ly­se bio­mé­tri­que” et met en dan­ger la “sphè­re pri­vée à l’é­chel­le mon­dia­le”. En fait, le modè­le com­mer­cial de Cle­ar­view AI dev­rait être con­fron­té à de grands défis si les exi­gen­ces du RGPD doi­vent être respec­tées lors de l’ana­ly­se bio­mé­tri­que des pho­tos. La coll­ec­te et l’uti­li­sa­ti­on ulté­ri­eu­re de don­nées bio­mé­tri­ques ne sont auto­ri­sées par le RGPD que dans des con­di­ti­ons stric­tes (artic­le 9, para­gra­phe 2 du RGPD). Con­for­mé­ment à l’ar­tic­le 9, para­gra­phe 2, point a), du RGPD, il fau­drait pro­ba­blem­ent obte­nir le con­sen­te­ment expli­ci­te des per­son­nes con­cer­nées de l’UE pour le trai­te­ment des don­nées. Avec des mil­li­ards de pho­tos, ce serait une ent­re­pri­se exigeante.

Pas d’uti­li­sa­ti­on légiti­me de l’ap­pli­ca­ti­on par les auto­ri­tés répres­si­ves de l’UE

Les auto­ri­tés de pour­suite péna­le de l’UE ne dev­rai­ent pas enco­re avoir recours à l’ap­pli­ca­ti­on. Selon le Comi­té euro­pé­en de la pro­tec­tion des don­nées il man­que une base juri­di­que pour l’uti­li­sa­ti­on de la recon­nais­sance facia­le bio­mé­tri­que par les ser­vices répres­sifs euro­pé­ens. Dans le même temps, la Com­mis­si­on euro­pé­en­ne pour la pro­tec­tion des don­nées a annon­cé son inten­ti­on d’é­la­bo­rer des direc­ti­ves régis­sant l’uti­li­sa­ti­on de la recon­nais­sance facia­le auto­ma­ti­sée par les ser­vices répres­sifs européens.

Les auto­ri­tés de sur­veil­lan­ce s’unissent 

Cle­ar­view AI a éga­le­ment sus­ci­té l’in­té­rêt des auto­ri­tés de pro­tec­tion des don­nées en dehors de l’UE. Les auto­ri­tés bri­tan­ni­ques et austra­li­en­nes de pro­tec­tion des don­nées ont lan­cé en juil­let 2020 un enquête con­join­te cont­re Cle­ar­view AI. Tou­tes deux sou­hai­tent éga­le­ment coopé­rer avec d’aut­res auto­ri­tés de pro­tec­tion des don­nées. L’af­fai­re Cle­ar­view AI mont­re clai­re­ment que les auto­ri­tés de pro­tec­tion des don­nées regar­dent de plus en plus au-delà des fron­tiè­res natio­na­les et ne se con­ten­tent pas de reprend­re les sujets d’ex­amen d’aut­res auto­ri­tés, mais coopè­rent de plus en plus. Il sera inté­res­sant de voir si Cle­ar­view AI sera impres­si­onnée par la men­ace d’u­ne amen­de et par l’u­ni­on des autorités.