L'Italie inflige une amende de 20 millions d'euros à la société de reconnaissance faciale Clearview AI

Il est également interdit à l'entreprise d'utiliser des images d'Italiens dans sa base de donnée

Un autre gendarme européen de la vie privée a sanctionné la société controversée de reconnaissance faciale, Clearview AI, qui récupère les photos sur Internet dans l'optique de se constituer une base de données de quelque 10 milliards de visages pour alimenter un service de correspondance d'identité qu'elle vend aux forces de l'ordre. L'agence italienne de protection des données a annoncé une amende de 20 millions d'euros pour violation du droit de l'UE. Elle a également ordonné à l'entreprise controversée de supprimer toutes les données sur les Italiens qu'elle détient et elle interdit tout traitement ultérieur de la biométrie faciale de ses citoyens. Son enquête a été ouverte à la suite de « plaintes et rapports », a-t-elle déclaré, notant qu'en plus des violations de la loi sur la confidentialité, elle a découvert que l'entreprise suivait des citoyens italiens et des personnes situées en Italie.

Clearview AI est une start-up qui a mis au point Clearview, une application de reconnaissance faciale. Sur son site, l'entreprise indique que c'est un nouvel outil de recherche utilisé par les organismes judiciaires pour identifier les auteurs et les victimes de crimes. « La technologie de Clearview a aidé les forces de l'ordre à traquer des centaines de criminels en général, notamment des pédophiles, des terroristes et des trafiquants sexuels ».

Son fonctionnement est simple : vous prenez une photo d'une personne, la téléchargez et voyez des photos publiques de cette personne, ainsi que des liens vers l'endroit où ces photos sont apparues. Le système s'appuie sur une base de données de plus de trois milliards d'images que Clearview prétend avoir récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web.

Chose légale ou pas, plusieurs rapports publiés en 2020 ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, pendant plus d'un an avant que la société ne fasse l'objet d'un examen public, l'application avait été librement utilisée par les investisseurs, les clients et les amis de la société. Des personnes proches de Clearview ont utilisé leur technologie de reconnaissance faciale lors de fêtes, de réunions d'affaires, etc. faisant des démonstrations de son potentiel pour le plaisir ou l'utilisant pour identifier des personnes dont elles ignoraient ou ne se souvenaient pas des noms.

Pour sa défense, Hoan Ton-That, cofondateur de l'entreprise, a expliqué que des comptes d'essai ont été fournis à des investisseurs potentiels et actuels, ainsi qu'à d'autres partenaires stratégiques, afin qu'ils puissent tester l'application.

Clearview était inconnu du grand public jusqu'en janvier dernier 2020, lorsqu'il a été rapporté que la start-up avait développé un système de reconnaissance faciale révolutionnaire qui était utilisé par des centaines d'agences d'application de la loi.


L'autorité italienne de protection des données tape du poing sur la table

Une enquête de Garante per la Protezione dei Dati Personali, l'autorité italienne de protection des données, a révélé que la base de données de 10 milliards d'images de visages de l'entreprise comprend celles d'Italiens et de résidents en Italie. La société basée à New York est condamnée à une amende de 20 millions d'euros et devra également supprimer toute biométrie faciale qu'elle détient sur les ressortissants italiens.

« Les conclusions ont révélé que les données personnelles détenues par l'entreprise, y compris les données biométriques et de géolocalisation, sont traitées illégalement, sans base légale adéquate, ce qui ne peut certainement pas être l'intérêt légitime de l'entreprise américaine », a déclaré le Garante dans un communiqué.

Parmi les autres violations du règlement général sur la protection des données (RGPD) qu'il a identifiées, citons les obligations de transparence (du fait que Clearview n'a pas suffisamment informé les utilisateurs de ce qu'il faisait avec leurs selfies) ; la violation de la limitation des finalités et utilisation des données des utilisateurs à des fins autres que celles pour lesquelles elles ont été publiées en ligne ; ainsi que des violations des règles de conservation des données sans limites de stockage.

« L'activité de Clearview AI viole donc les libertés des personnes concernées, y compris la protection de la confidentialité et le droit de ne pas être discriminé », a également déclaré l'autorité.

Dans le communiqué de presse annonçant la sanction, le Garante a également noté qu'il avait ordonné à Clearview de désigner un représentant dans l'UE « afin de faciliter l'exercice des droits des personnes concernées » - une autre exigence légale en vertu du droit de l'UE qu'il a constaté que l'entreprise n'avait pas remplie. Mais l'absence d'une entité Clearview basée dans l'UE rend beaucoup plus difficile pour l'Italie de percevoir une amende.

Bien que le RGPD ait, sur le papier, une portée extraterritoriale (ce qui signifie qu'il s'applique en dehors du bloc à toute personne traitant les données des citoyens de l'UE), l'application contre des entités étrangères qui n'ont pas d'établissements ou de dirigeants locaux à qui infliger des sanctions peut constituer des limites pratiques strictes sur la portée de la loi.

Cela dit, les autorités de protection des données peuvent toujours s'en prendre à toute entité locale cliente de l'entité sanctionnée (comme l'a fait le gendarme suédois l'année dernière, infligeant une amende à une force de police locale pour ce qu'elle a qualifié d'utilisation illégale du logiciel de reconnaissance faciale de Clearview).

Les conséquences juridiques se multiplient

Ce n'est donc pas la première fois que la société de technologie de reconnaissance faciale fait face à des conséquences juridiques. En novembre dernier, l'autorité britannique de protection des données a infligé une amende de 17 millions de livres sterling à l'entreprise après avoir constaté que ses pratiques, notamment la collecte de selfies de personnes sans leur consentement à partir de séquences de caméras de sécurité ou de photos, enfreignaient les lois nationales sur la protection des données. La société a également été interdite en Suède, en France et en Australie.

Les amendes accumulées seront un coup dur pour l'entreprise maintenant âgée de cinq ans, siphonnant les 30 millions de dollars qu'elle a levés lors de son dernier cycle de financement. Mais l'aventure de Clearview AI semble ne faire que commencer. La société est sur la bonne voie pour breveter sa base de données biométrique, qui scanne les visages à travers les données Internet publiques et a été utilisée par les forces de l'ordre du monde entier, y compris les services de police aux États-Unis et un certain nombre d'agences fédérales. Un certain nombre de démocrates ont exhorté les agences fédérales à abandonner leurs contrats avec Clearview AI, affirmant que l'outil constituait une grave menace pour la vie privée des citoyens ordinaires. Dans une lettre adressée au Département de la sécurité intérieure, les sénateurs Ed Markey et Jeff Merkley et les représentants Pramila Jayapal et Ayanna Pressley ont exhorté les régulateurs à cesser d'utiliser l'outil.

« Clearview AI aurait récupéré des milliards de photos sur des sites de médias sociaux sans l'autorisation ni l'avis des personnes photographiées. En conjonction avec les capacités de reconnaissance faciale de l'entreprise, cette mine d'informations personnelles est capable de démanteler fondamentalement l'attente des Américains selon laquelle ils peuvent se déplacer, se rassembler ou simplement apparaître en public sans être identifiés », ont écrit les auteurs de la lettre.

La réaction de l'entreprise

Dans une déclaration attribuée au PDG, Hoan Ton-That, Clearview a déclaré :

« Clearview AI n'a pas d'établissement en Italie ou dans l'UE, n'a pas de clients en Italie ou dans l'UE et n'entreprend aucune activité qui la soumettrait autrement au RGPD ».

Et de continuer en disant :

« Nous recueillons uniquement des données publiques sur Internet et respectons toutes les normes de confidentialité et de droit. Je suis navré par la mauvaise interprétation par certains en Italie, où nous ne faisons pas d'affaires, de la technologie de Clearview AI pour la société. Mes intentions et celles de mon entreprise ont toujours été d'aider les communautés et leurs habitants à vivre une vie meilleure et plus sûre ».

Malgré la perte de données de reconnaissance faciale de pays entiers, Clearview AI prévoit de se développer rapidement cette année. La société a déclaré aux investisseurs qu'elle était sur la bonne voie pour avoir 100 milliards de photos de visages dans sa base de données d'ici un an, ce qui serait soi-disant suffisant pour garantir que presque tous les humains figureront dans sa base de données.

« Clearview AI a dit aux investisseurs qu'il est sur la bonne voie pour avoir 100 milliards de photos faciales dans sa base de données d'ici un an, suffisamment pour garantir que "presque toutes les personnes dans le monde soient identifiables », selon une présentation aux investisseurs datant de décembre obtenue par le Washington Post, a rapporté le quotidien Washington Post. Il y a environ 7,9 milliards de personnes sur la planète.

La présentation de décembre faisait partie d'un effort visant à obtenir de nouveaux financements auprès d'investisseurs, donc 100 milliards d'images faciales sont plus un objectif qu'un plan ferme. Cependant, la présentation indique que Clearview a déjà accumulé 10 milliards d'images et ajoute 1,5 milliard d'images par mois, écrit le Post. Clearview a déclaré aux investisseurs qu'il avait besoin de 50 millions de dollars supplémentaires pour atteindre son objectif de 100 milliards de photos, a rapporté le Post :

Source : communiqué de l'autorité italienne de protection des données