Le chien de garde de la protection des données du Royaume-Uni a ordonné à la société controversée de reconnaissance faciale Clearview AI de supprimer toutes les données qu’elle détient sur les résidents britanniques après qu’il a été constaté que la société avait commis de multiples violations de la loi britannique sur la protection des données.
Le Bureau du commissaire à l’information (ICO) a infligé une amende de plus de 7,5 millions de livres sterling à la société – qui utilise la technologie de grattage pour récolter des photographies de personnes à partir d’images et de vidéos publiées sur des sites d’actualités, des médias sociaux et des sites Web.
L’amende est la dernière d’une série de mesures réglementaires prises contre Clearview AI, qui a fait l’objet d’ordonnances d’exécution similaires de la part des régulateurs de la confidentialité en Australie, en France et en Italie.
La société a réglé une action en justice avec l’American Civil Liberties Union (ACLU) en mai 2022 dans laquelle elle a accepté de suspendre ses ventes de technologie de reconnaissance faciale aux entreprises privées et aux particuliers à travers les États-Unis.
L’entreprise basée aux États-Unis vend l’accès à ce qu’elle prétend être la “plus grande base de données connue” de 20 milliards d’images de visages aux forces de l’ordre, qui peuvent utiliser ses algorithmes pour identifier des individus à partir de photographies et de vidéos.
La société récupère des images de personnes du monde entier, à partir de sites Web et de médias sociaux, et fournit des « métadonnées » supplémentaires qui peuvent inclure des détails sur l’endroit et le moment où la photo a été prise, le sexe du sujet, sa nationalité et les langues qu’il utilise. parler.
Le commissaire à l’information, John Edwards, a déclaré que Clearview permettait non seulement aux personnes figurant sur sa base de données d’être identifiées à partir de photographies, mais permettait effectivement de surveiller leur comportement d’une manière “inacceptable”.
“Les gens s’attendent à ce que leurs informations personnelles soient respectées, quel que soit l’endroit dans le monde où leurs données sont utilisées”, a-t-il déclaré. “C’est pourquoi les entreprises mondiales ont besoin d’une application internationale.”
Amende ‘incorrect en droit’
L’ICO a déclaré dans un communiqué que bien que Clearview AI ait cessé d’offrir des services au Royaume-Uni, la société utilisait toujours les données personnelles des résidents britanniques pour fournir des services à d’autres pays.
Compte tenu du nombre élevé d’utilisateurs d’Internet et des médias sociaux au Royaume-Uni, la base de données de Clearview était susceptible d’inclure une quantité importante de données provenant de résidents britanniques qui avaient été recueillies à leur insu, a-t-il déclaré.
L’avocat de Clearview, Lee Wolosky, associé chez Jenner and Block, a déclaré que la décision d’imposer une amende était “incorrecte en droit”.
“Clearview AI n’est pas soumis à la juridiction de l’ICO, et Clearview AI n’exerce actuellement aucune activité au Royaume-Uni”, a-t-il ajouté.
Clearview affirme que sa technologie a « aidé les forces de l’ordre à retrouver des centaines de criminels en général, y compris des pédophiles, des terroristes et des trafiquants de sexe ».
La société affirme également que sa technologie a été utilisée pour “identifier les victimes de crimes, notamment d’abus sexuels sur des enfants et de fraude financière” et pour disculper des innocents.
Violations multiples de la protection des données
L’ICO a averti dans une décision préliminaire en novembre que Clearview AI pourrait être passible d’une amende de plus de 17 millions de livres sterling à la suite d’une enquête conjointe de l’ICO et du Bureau du Commissaire australien à l’information (OAIC).
L’ICO a réduit l’amende proposée après avoir examiné les représentations de Clearview.
Il a constaté cette semaine que Clearview AI n’avait pas de base légale pour collecter des informations sur les citoyens britanniques et avait commis plusieurs autres violations de la protection des données :
- Clearview n’a pas utilisé les données britanniques sur les citoyens britanniques de manière équitable et transparente.
- Il a collecté et traité des données sur des citoyens britanniques à leur insu.
- Il n’a pas respecté les normes de protection des données plus élevées requises pour le traitement des données biométriques requises en vertu du règlement général sur la protection des données (RGPD).
- L’entreprise n’a pas mis en place de processus pour empêcher la collecte et le stockage des données indéfiniment.
- Clearview AI a également rendu difficile la tâche des personnes qui souhaitaient s’opposer à la collecte de leurs données par l’entreprise en demandant aux candidats des informations supplémentaires, telles que des photographies personnelles.
Action réglementaire
L’amende de l’ICO est la dernière d’une série d’actions réglementaires et de poursuites judiciaires qui ont frappé Clearview AI au cours des deux dernières années.
Privacy International et d’autres organisations de défense des droits humains ont déposé des plaintes juridiques coordonnées au Royaume-Uni, en France, en Autriche, en Italie et en Grèce en mai 2021.
En décembre 2021, la CNIL a ordonné à Clearview AI d’arrêter sa collecte d’informations biométriques photographiques sur les personnes se trouvant sur le territoire français et de supprimer les données qu’elle avait déjà collectées.
La CNIL a constaté que le logiciel de Clearview permettait à ses clients de recueillir des informations personnelles détaillées sur des individus en les dirigeant vers les comptes de médias sociaux et les articles de blog des personnes identifiées.
La capacité des clients de Clearview à effectuer des recherches répétées dans le temps sur le profil d’un individu a en effet permis de suivre le comportement des individus ciblés dans le temps, a conclu la CNIL.
Les tentatives par des individus d’accéder à leurs informations personnelles à partir de Clearview, comme l’exige la loi sur la protection des données, se sont avérées difficiles.
Dans le cas d’un plaignant français, Clearview a répondu quatre mois après avoir reçu sept lettres.
L’entreprise a demandé une copie de la pièce d’identité de la plaignante qu’elle avait déjà fournie et lui a demandé d’envoyer une photographie, ce qui, selon la CNIL, n’a pas permis à la plaignante d’exercer ses droits.
La CNIL a également constaté que la société limite les droits d’accès des individus aux données collectées au cours des 12 derniers mois, malgré la conservation indéfinie de leurs informations personnelles.
Plus intrusif que Google
En février 2022, le régulateur italien de la protection des données a infligé une amende de 20 millions d’euros à Clearview et lui a ordonné de supprimer toutes les données collectées sur le territoire italien, après avoir reçu des plaintes de quatre personnes qui s’opposaient à ce que leurs photographies apparaissent sur la base de données de Clearview.
Clearview a fait valoir – en vain – qu’elle ne relevait pas de la juridiction de l’Italie car elle n’offrait aucun produit ou service dans le pays et bloquait toute tentative d’accès à sa plateforme à partir d’adresses IP italiennes.
Le régulateur italien a également rejeté les affirmations de Clearview selon lesquelles sa technologie était analogue à Google, estimant que le service de Clearview était plus intrusif que le moteur de recherche.
Par exemple, la technologie de Clearview conservait des copies des données biométriques après que les images avaient été supprimées du Web et les associait à des métadonnées intégrées dans la photographie.
Les correspondances faciales fournies par Clearview pourraient également être liées à des informations sensibles, notamment l’origine raciale, l’origine ethnique, les opinions politiques, les croyances religieuses ou l’appartenance à un syndicat.
Le régulateur a constaté que, contrairement à Google, Clearview mettait à jour sa base de données et conservait les images qui n’apparaissaient plus sur le Web, fournissant un enregistrement de l’évolution des informations sur les personnes au fil du temps.
« La mise à disposition publique des données sur Internet n’implique pas, du simple fait de leur statut public, la légitimité de leur collecte par des tiers », a-t-il déclaré.
Règlement Clearview aux États-Unis
Plus récemment, Clearview a conclu un règlement juridique aux États-Unis avec l’ACLU le 9 mai 2022, à la suite d’une allégation selon laquelle l’entreprise avait violé à plusieurs reprises la loi sur la confidentialité des informations biométriques dans l’Illinois.
L’ACLU a porté plainte au nom de groupes vulnérables, notamment des survivants de violences domestiques et d’agressions sexuelles, des immigrants sans papiers et des travailleurs du sexe qui pourraient être lésés par la surveillance par reconnaissance faciale.
Dans le cadre du règlement, Clearview a accepté de ne pas vendre ses services de reconnaissance faciale aux entreprises et aux particuliers à travers les États-Unis, le limitant à offrir des services aux forces de l’ordre et aux agences gouvernementales.
Il lui est interdit d’offrir ses services de reconnaissance faciale dans l’État de l’Illinois aux forces de l’ordre et aux entreprises privées pendant cinq ans.
D’autres mesures comprenaient l’ajout d’un formulaire de demande de désinscription sur son site Web pour permettre aux résidents de l’Illinois de supprimer leurs coordonnées des résultats de recherche, que Clearview doit publier à ses propres frais.
Clearview a proposé des “comptes d’essai” à la police de l’Europe
Clearview a été fondée en 2017 aux États-Unis pour offrir des services de reconnaissance faciale et a déposé un brevet pour sa technologie d’apprentissage automatique en février 2021.
La société a commencé à offrir des services à la police américaine et aux forces de l’ordre en 2019 et a ensuite commencé à se développer en Europe.
Clearview AI a attiré l’attention du public pour la première fois en janvier 2020 lorsque la New York Times a révélé que la société offrait des services de reconnaissance faciale à plus de 600 organismes chargés de l’application de la loi et à au moins une poignée d’entreprises à des «fins de sécurité».
Les utilisateurs de la société, dont elle prétendait avoir 2 900, comprenaient des services de sécurité des collèges, des procureurs généraux et des sociétés privées, y compris des organisations d’événements, des exploitants de casinos, des entreprises de fitness et des sociétés de crypto-monnaie, a ensuite rapporté Buzzfeed.
Clearview a affirmé avoir un petit nombre de “comptes de test” en Europe mais les a désactivés en mars 2020 suite à des plaintes des régulateurs européens.
L’entreprise a également supprimé plusieurs références à la législation européenne sur la protection des données de son site Web, ce qui, selon les régulateurs, avait clairement montré son intention antérieure d’offrir des services de reconnaissance faciale en Europe.
ICO aurait dû infliger une amende maximale
Lucie Audibert, avocate chez Privacy International, a déclaré que l’ICO aurait dû s’en tenir à son intention initiale d’infliger à Clearview AI une amende maximale de 17 millions de livres sterling.
«Bien que nous ne connaissions pas le nombre exact, un nombre considérable de résidents britanniques, probablement la grande majorité, ont potentiellement vu leurs photos grattées et traitées par Clearview – l’intention initiale de l’ICO d’imposer l’amende maximale était donc la seule réponse proportionnée à l’étendue du mal », a-t-elle déclaré à Computer Weekly.
« Le grattage des données de Clearview est, par définition, aveugle, et aucun ajustement technique ne peut lui permettre de filtrer les visages des personnes dans certains pays. Même s’ils essayaient de filtrer en fonction de l’emplacement de l’adresse IP du site Web ou du téléchargeur de l’image, ils se retrouveraient toujours avec des visages de personnes résidant au Royaume-Uni.
Audibert a ajouté: “Ce n’est pas un modèle commercial tenable – après l’énorme coup qu’ils ont reçu à travers le règlement avec l’ACLU aux États-Unis, ils avancent sur une glace extrêmement mince.”
Date limite d’appel
Clearview dispose de 28 jours pour faire appel de la décision de l’ICO et de six mois pour exécuter l’ordonnance.
L’ICO a déclaré qu’elle pourrait imposer de nouvelles amendes si Clearview AI ne se conforme pas.
“Notre équipe d’enquête restera en contact avec Clearview pour s’assurer que les mesures appropriées sont prises”, a déclaré un porte-parole à Computer Weekly. “S’ils ne se conforment pas à l’avis d’exécution, nous pouvons émettre d’autres avis de sanction pécuniaire pour le non-respect de l’avis d’exécution.”
