La société controversée de reconnaissance faciale Clearview AI a accumulé une base de données d’environ 10 milliards d’images en supprimant les selfies d’Internet, ce qui lui permet de vendre un service de correspondance d’identité aux forces de l’ordre.
Clearview enfreint le règlement européen sur la protection des données publiques (RGPD), a déclaré aujourd’hui la French Privacy Watch.
UNE Remarquer En cas de manquement, la CNIL mettra en demeure Clearview de mettre fin à son « traitement illégal » et de supprimer les données de l’utilisateur dans un délai de deux mois.
Le Comité de Suivi travaille sur les Réclamations sur Clearview depuis mai 2020.
L’entreprise américaine n’a pas de base dans l’UE, ce qui signifie que son activité est ouverte à des mesures réglementaires dans toute l’UE, par les contrôleurs de la protection des données du groupe. La commande de la CNIL ne s’applique qu’aux données détenues sur les territoires français – les estimations de la CNIL incluent « plusieurs » millions d’internautes – et davantage de telles commandes peuvent provenir d’autres agences de l’UE.
La CNIL note qu’elle a cherché à travailler avec des collègues en partageant les résultats de ses enquêtes – suggérant que Clearview pourrait faire face à de nouvelles ordonnances pour cesser de traiter les données d’autres États membres de l’UE et des fonctionnaires de l’EEE qui ont nationalisé le RGPD. Droit (environ 30 pays au total).
Cette année, le service de Clearview a déjà été jugé comme violant les règles de confidentialité Canada, Australie Et ça Royaume-Uni (Post-Brexit, siégeant en dehors de l’UE, mais détient actuellement le RGPD dans le droit national) – qui encourt des amendes potentielles et l’ordre de supprimer les données des utilisateurs Le mois dernier.
Deux violations du RGPD
La CNIL française a constaté que Clearview avait commis deux violations du RGPD : violer l’article 6 (légitimité du processus) en collectant et en utilisant des données biométriques sans base légale ; Et la violation des différents droits d’accès aux données mentionnés aux articles 12, 15 et 17.
La raison de la violation de l’article 6 est que Clearview n’a pas reçu l’approbation du public pour utiliser sa biométrie faciale, et l’intérêt légitime de collecter et d’utiliser ces données ne peut être invoqué sur une base légale. La nature du processus par lequel il est mis en œuvre.
« Ces personnes, qui ont accès à des photos ou des vidéos sur divers sites Internet et réseaux sociaux, ne s’attendent pas raisonnablement à ce que leurs images soient traitées. [Clearview AI] Pour alimenter le système de reconnaissance faciale utilisable par les états [such as for] A des fins policières », écrit la CNIL.
Il a reçu des plaintes concernant les nombreuses « difficultés » rencontrées pour tenter d’obtenir des droits d’accès aux données GDPR pour les individus.
Ici, la CNIL constate que Clearview enfreint les règles de plusieurs manières – telles que la limitation des droits d’accès aux données des individus deux fois par an à « injustifiés » ; Ou en le limitant aux données collectées au cours des 12 derniers mois ; Ou répondre à quelques sollicitations seulement après « un grand nombre de sollicitations de la même personne ».
Clearview a été chargée de veiller à ce qu’elle facilite correctement les droits des personnes concernées, y compris le respect des demandes de suppression de données publiques.
La société a averti que si elle ne se conformait pas à l’ordonnance française, elle s’exposerait à de nouvelles mesures disciplinaires, notamment des amendes.
En vertu du RGPD, les DPA peuvent être condamnés à une amende pouvant aller jusqu’à 20 millions ou jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise. Cependant, l’imposition d’amendes à des entreprises non basées dans l’UE reste un défi réglementaire.
Clearview a été contacté pour commenter la commande de la CNIL.
« Ninja de la culture pop. Fan des médias sociaux. Solutionneur de problèmes typique. Praticien du café. Tombe beaucoup. Féru de voyages. »