Clearview AI, la startup américaine connue pour une violation massive de données ces dernières années après avoir récupéré des selfies sur Internet et utilisé les données des personnes pour créer un outil de reconnaissance faciale qu’elle a envoyé aux forces de l’ordre et à d’autres condamnés à une amende en France. en raison d’un manque de coopération avec l’autorité de protection des données.

L’amende impayée de 5,2 millions d’euros a été infligée par le régulateur français CNIL – en plus de l’amende de 20 millions d’euros qu’elle a infligée à l’entreprise l’année dernière pour avoir enfreint les règles régionales de protection des données.

Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les conditions du traitement licite des données personnelles. Il a été constaté que Clearview avait enfreint une série d’exigences légales – par la CNIL française et plusieurs autres autorités régionales de protection des données, y compris les autorités britanniques, italiennes et grecques, qui ont jusqu’à présent infligé des amendes de plusieurs dizaines de millions d’euros.

Reste à savoir si Clearview paiera jamais l’une de ces amendes, car la société américaine n’a pas coopéré avec les régulateurs de l’UE.

dans une communiqué de presse Aujourd’hui, la CNIL a annoncé que Clearview n’avait pas respecté l’ordonnance émise en octobre dernier – lorsqu’elle a imposé la sanction maximale possible (20 millions d’euros) pour trois types de violations du RGPD.

Cette ordonnance de 2022 fait suite à une précédente constatation en décembre 2021 lorsque la CNIL – après avoir enquêté sur des plaintes – a décidé que Clearview avait enfreint le RGPD en traitant illégalement des dizaines de millions de données de citoyens. et non-octroi de droits d’accès aux données aux populations locales.

C’est le non-respect par Clearview de l’ordonnance de la CNIL de décembre 2021 qui a conduit le régulateur français à ajouter une troisième violation à sa liste en octobre 2022 – le manque de coopération avec le régulateur – et à imposer l’amende la plus élevée possible en vertu du RGPD. (Le règlement prévoit des amendes pouvant aller jusqu’à 4 % des ventes mondiales annuelles ou 20 millions d’euros, selon le montant le plus élevé.)

L’ordonnance de la CNIL a également enjoint Clearview de ne pas collecter et traiter de données sur les résidents français sans base légale appropriée. et supprimer les données des personnes dont les informations ont été traitées illégalement après que toutes les demandes d’accès aux données en attente ont été satisfaites.

La commission des sanctions de la CNIL a donné à Clearview deux mois pour se conformer à l’injonction – sinon avec des amendes supplémentaires (frais de 100 000 euros par jour de retard).

Bien sûr, la société américaine notoirement peu coopérative n’a pas coopéré une fois de plus – d’où la récente amende de la CNIL, qui semble accuser Clearview de 52 jours de non-conformité.

« Clearview AI a eu deux mois pour se conformer à l’ordonnance et justifier auprès de la CNIL. Cependant, la société n’a pas présenté de preuve de conformité dans ce délai », a écrit le régulateur. « Le 13 avril 2023, le panel restreint a déterminé que la société ne s’était pas conformée à l’ordonnance et a donc infligé une amende de 5 200 000 € à Clearview AI. »

Nous nous sommes tournés vers la CNIL avec des questions.

Clearview a également été contacté pour commentaires. Son agence de relations publiques, le groupe LAKPR, a répondu par le déni (désormais) courant que le droit de l’UE s’appliquait à leur travail :

Clearview AI n’est pas basée en France ou dans l’UE, n’a pas de clients en France ou dans l’UE et n’entreprend aucune activité qui la soumettrait autrement au RGPD.

(Remarque : le RGPD s’applique aux données personnelles des citoyens de l’UE, donc Clearview n’aurait jamais dû supprimer les selfies des habitants d’Internet, de peur que la loi sur la protection de la vie privée du bloc ne relève de sa compétence, et, surtout, sa déclaration n’indique pas qu’elle n’a jamais traité de données européennes. )

La déclaration de Clearview sur une « mauvaise interprétation de la technologie d’IA de Clearview dans la société par certains en France, où nous n’opérons pas », est attribuée à son PDG, Hoan Ton-That. Dans ce document, il réitère l’affirmation selon laquelle il a développé la technologie de reconnaissance faciale « uniquement pour aider à rendre les communautés plus sûres et pour aider les forces de l’ordre à résoudre les crimes odieux contre les enfants, les personnes âgées et d’autres victimes d’actes indisciplinés ». ajoutant: « Nous collectons des données publiques uniquement à partir d’Internet ouvert et respectons toutes les normes juridiques et de confidentialité. »

Alors que la CNIL française devra peut-être siffler les millions de dettes de Clearview, les amendes empêchent effectivement la société d’intelligence artificielle de s’établir en France à moins qu’elle ne soit disposée à payer lorsque les agents de recouvrement de la CNIL arriveront.

De plus, et peut-être plus important encore, toutes ces sanctions du GDPR découragent les autres entreprises de la région d’utiliser les services de Clearview – car elles risquent d’être condamnées à une amende, comme cela s’est produit en 2021 lorsqu’un service de police suédois a été surpris en train d’utiliser Clearview illégalement. Par exemple.

Ainsi, alors que les données des citoyens de l’UE ne sont toujours pas protégées contre le traitement abusif par des sociétés d’intelligence artificielle détestant la vie privée comme Clearview, le RGPD peut au moins aider à limiter les dégâts en rendant de facto impossible de faire des affaires dans la région. Bien qu’il n’y ait aucun doute, la saga souligne le défi d’appliquer un règlement régional pour les entreprises étrangères non coopératives en période de flux de données transfrontaliers importants.

Il y a un autre règlement de l’UE sur l’IA que les législateurs du bloc sont trop occupés à peaufiner les derniers détails de la loi sur l’IA : un règlement sur l’utilisation de l’intelligence artificielle proposé par la Commission en 2021 interdisant l’utilisation de la biométrie à distance dans les lieux publics – qui pourrait avoir a contribué à inspirer Clearview.