Traitement de données publiquement accessibles sur internet : mise en demeure de Clearview AI par la CNIL

Depuis 2017, la société américaine Clearview AI fournit aux forces de l’ordre de plusieurs pays (dont 600 services de police aux États-Unis) des outils de reconnaissance faciale, grâce à des algorithmes qu’elle a entraînés en « aspirant » des milliards de photographies de personnes librement accessibles sur Internet, en particulier les réseaux sociaux, mais également de sites d’entreprises partageant leur trombinoscope ou de simples blogs.

Depuis un article consacré par le New York Times en janvier 2020, cette société suscite l’inquiétude quant à la façon dont elle respecte les droits et libertés des personnes concernées, jusqu’aux géants numériques Twitter, Google et Facebook qui ont successivement exigé qu’elle mette fin à cette collecte d’images présentes sur leurs pages.

Dès mai 2020, la CNIL a reçu de nombreuses plaintes de particuliers rencontrant des difficultés pour exercer leurs droits relatifs aux données les concernant et qui étaient collectées par le logiciel de reconnaissance faciale de Clearview AI. Elle a d’abord procédé à un contrôle sur pièces, en adressant en octobre 2020 à la société un questionnaire auquel celle-ci a répondu un mois après.

En mai 2021, l’ONG Privacy International annonçait le dépôt de plusieurs réclamations en Europe contre cette entreprise, dont une auprès de la CNIL.

L’ensemble des investigations menées par la CNIL lui ayant permis de constater deux manquements au RGPD, elle a décidé le 26 novembre 2021 de prononcer une mise en demeure à l’encontre de Clearview AI. Cette décision est instructive à plusieurs titres.

1. L’applicabilité du RGPD

Il y a plusieurs éléments à caractériser pour s’assurer que le Règlement Général sur la Protection des Données (RGPD) s’applique aux opérations réalisées par cette société américaine.

Rappelons ce que prévoit l’article 3 du RGPD sur cette question :
1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne (UE), que le traitement ait lieu ou non dans l’Union.
2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union européenne par un responsable du traitement ou un bqui n’est pas établi dans l’UE, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes
b) ouau suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne.

La société Clearview AI n’ayant aucun établissement dans l’Union Européenne, elle n’est pas concernée par le critère d’établissement du 1. Dans sa décision, la CNIL développe sur le critère de ciblage que prévoient le paragraphe 2 b) et les lignes directrices 3/2018 du CEPD, considérant que les opérations réalisées par la société constituent effectivement un traitement de « données à caractère personnel relatives à des personnes concernées sur le territoire de l’Union européenne et [que] le traitement est lié au suivi du comportement de ces personnes ».

Au regard des éléments suivants, l’autorité a considéré qu’un tel suivi de comportement des personnes était bien caractérisé :
• le fait que la société collecte des photos publiquement accessibles sur internet, en enregistrant le site de provenance de chacune
• l’utilisation des métadonnées de géolocalisation pouvant figurer dans les fichiers ;
• le fait que l’outil permet de générer « à partir d’une photographie, un résultat de recherche contenant l’ensemble des photographies ayant un gabarit biométrique suffisamment proche de celle-ci.« 

La CNIL qualifie même le traitement permettant aux clients de Clearview AI de réaliser des requêtes sur les profils comportementaux ainsi créés de « suivi sur internet ».

Ayant ainsi justifié l’application du RGPD aux activités de cette société, la CNIL a ensuite eu à justifier sa compétence.

2. La compétence de la CNIL

En l’absence d’établissement en Europe, Clearview AI n’est pas concernée par le mécanisme de « guichet unique », permettant à un responsable de traitement de désigner une autorité de contrôle parmi celles des États-membres pour être compétente sur les traitements transfrontaliers.

Le corollaire est que chaque autorité de contrôle est seule compétente pour exercer ses missions sur son territoire.

Les traitements réalisés par Clearview AI portant notamment sur des personnes établies en France, la CNIL est donc pleinement compétente pour statuer sur les manquements constatés.

3. Les manquements constatés

A) L’absence de base juridique pour les traitements mis en œuvre

Parmi les principes régissant les traitements de données, l’un des premiers mis en avant par le RGPD est le principe de licéité (articles 5. 1. a) et 6), en vertu duquel tout responsable d’un traitement doit pouvoir s’appuyer sur une base juridique (ou « base légale ») valide, parmi les six bases suivantes :
• le consentement
• l’exécution d’un contrat/les mesures précontractuelles avec la personne concernée
• l’obligation légal
• la mission d’intérêt public
• l’intérêt légitime
• la sauvegarde des intérêts vitaux.

Dans le cadre des investigations menées par la CNIL, la société a été interrogée sur le fondement juridique de ce traitement, au sens de l’article 6 du RGPD. La société n’a apporté aucune réponse sur ce point. La politique de confidentialité de la société n’évoque pas davantage le fondement juridique dudit traitement.

En l’absence de cette information (devant obligatoirement être communiquée à toute personne faisant l’objet du traitement), la CNIL réalise alors un exercice de détermination de la base juridique applicable au traitement, le cas échéant.

En l’absence de recueil du consentement, il convient d’étudier les autres bases prévues. Au regard de la nature des traitements réalisés, la CNIL en évacue rapidement quatre autres : l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux et l’exécution d’une mission d’intérêt public.

Il convient alors de s’interroger sur la pertinence éventuelle de l’intérêt légitime poursuivi par le responsable de traitement. Rappelons que le recours à cette base juridique suppose que le traitement soit « nécessaire aux fins des intérêts légitimes [poursuivi par le responsable du traitement], à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux des personnes concernées ». Le G29 (devenu EDPB) avait déjà noté, dans son avis 06/2014 que « les données à caractère personnel, même si elles ont été rendues publiques, restent considérées comme des données à caractère personnel » et que « leur traitement continue donc à requérir des garanties appropriées ».

Au regard de « l’intrusivité particulièrement forte » du traitement, qui collecte un grand nombre de données révélant divers aspects de la vie privée sur une population extrêmement large, et du fait que les personnes concernées ne pouvaient pas raisonnablement s’attendre à ce que les photos qu’elles ont mises en ligne sur divers sites plus ou moins accessibles soient ainsi réutilisées par une société inconnue du grand public et dans le cadre de finalités tout aussi mystérieuses, la CNIL considère que « l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires, et le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu ».

Le traitement est donc illégal, pour absence de base juridique valable.

B) Le non-respect des droits des personnes

Les plaintes reçues par la CNIL concernaient des demandes de personnes qui avaient souhaité exercer auprès de Clearview AI leurs droits d’accès et d’effacement des données les concernant. Dans sa décision, la CNIL ne cite que l’exemple d’une plaignante ayant mandaté un tiers pour exercer ses droits et rencontré les difficultés suivantes :

■ après avoir accusé réception de sa demande, Clearview AI lui a demandé de la lui réadresser via une plateforme en ligne.

■ Clearview AI a attendu plus de deux mois (et plusieurs relances par courrier électronique) pour demander une photographie et la copie d’une pièce d’identité de la plaignante, alors que suffisamment d’éléments permettant de justifier de son identité avaient déjà été communiqués.

■ ce n’est que quatre mois après la demande initiale, après des échanges supplémentaires concernant la transmission d’une pièce d’identité, que Clearview AI a traité la demande d’exercice du droit d’accès, à laquelle elle n’a répond que partiellement, ne fournissant à la plaignante que le résultat de la recherche produit par son outil.

■ Clearview AI limite l’exercice du droit d’accès à deux fois par an, sans justification particulière, et seulement pour les données collectées sur les 12 derniers mois, alors que rien n’indique dans sa politique de confidentialité que leur conservation serait limitée à cette durée.

Clearview AI manque ainsi à son obligation de faciliter l’exercice des droits par les personnes, que lui impose l’article 12. 2 du RGPD.

En raison de ces manquements graves à ses responsabilités (rappelons que les atteintes aux principes tels que décrits au III a) exposent à une amende pouvant aller jusqu’à 4% du CA annuel mondial ou 20 M€), la CNIL a dans un premier temps mis en demeure Clearview AI de cesser les manquements constatés dans un délai de deux mois, se réservant la possibilité de désigner un rapporteur en vue de l’adoption d’une sanction par la formation restreinte.

Je partage