Reconnaissance faciale : sanction de Clearview AI par la CNIL

Afin de bien comprendre les enjeux de la décision de sanction, il est nécessaire de présenter l’activité de la société en cause. Clearview AI commercialise une solution de reconnaissance faciale à partir d’une immense base de données constituée de visages de personnes. Fonctionnant sur du web scraping, une technique de siphonage de données disponibles sur le web, le robot de Clearview AI extrait ainsi des photographies de personnes librement accessibles sur Internet, y incluant les images de personnes figurant dans des vidéos. Les clients de Clearview AI soumettent une image dans un moteur de recherche qui propose un ensemble de photographies ayant une empreinte similaire, fourni avec l’URL source et, le cas échéant, quelques métadonnées.

Concrètement, le robot de Clearview AI parcoure le web pour y extraire des données comprenant au moins une image de visage. Cette image est agrégée pour en déterminer les caractéristiques du visage – comme la forme d’un nez – qui prises dans leur ensemble s’intitulent le « gabarit ». La requête du client, matérialisée par une image, est ensuite agrégée et comparée avec les gabarits stockés afin d’en identifier les correspondances. Ces informations sont associées à des informations complémentaires, comme le titre de l’image ou de la page web, l’URL source, ou la géolocalisation, ce afin de permettre au client d’analyser plus finement les correspondances.

Plusieurs autorités de contrôle de l’Union se sont saisies de l’affaire après avoir été informées de l’activité de la société par un article publié dans le New York Times (Kashmir Hill, The Secretive Company That Might End Privacy as We Know It, 18 janv. 2020). La CNIL ne tarda pas à suivre ce mouvement à la suite de plusieurs réclamations et prononça à son encontre une mise en demeure de déterminer une base légale du traitement ainsi que de faciliter l’exercice des droits, en particulier les droits d’accès et à l’effacement (26 nov. 2021, délib. n° MED-2021-134, Clearview AI, Dalloz IP/IT 2022. 9, obs. C. Crichton ; ibid. 220, obs. C. Lequesne-Roth ). Cette mise en demeure n’a fait l’objet d’aucune réaction de la part du responsable du traitement (pt 92). Plus largement, celui-ci n’a que peu coopéré avec la CNIL tout au long de la procédure (pts 87 à 93). Par conséquent, la société ne pouvait qu’être condamnée à une amende administrative ainsi qu’à une injonction de mise en conformité assortie d’une astreinte.

À titre liminaire, il convient de préciser que la CNIL reconnaît sa compétence matérielle en mobilisant la notion de suivi du comportement des personnes (pts 18 à 42) prévu à...