Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Clearview AI, 17 octobre 2022

Résumé des faits

Après avoir reçu plusieurs plaintes au sujet du logiciel de reconnaissance faciale de la société Clearview AI permettant l’aspiration d’images publiquement accessibles sur Internet, la CNIL a mené une enquête et a constaté plusieurs manquements au RGPD. Elle a ainsi mis en demeure le 26 novembre 2021 la société Clearview AI de cesser les manquements constatés et de supprimer les données dans un délai de deux mois.

Aucune réponse n’ayant été apportée à cette mise en demeure, la CNIL a sanctionné Clearview AI par une amende publique de 20 millions d’euros pour plusieurs manquements dont le non- respect du principe de licéité du traitement, le non-respect des droits des personnes concernées ainsi que l’absence de coopération avec les services de la CNIL. Elle a également adopté à l’encontre de la société une injonction de se mettre en conformité avec ses obligations, assortie d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de deux mois.

Motifs de la sanction / Manquements

  • Non-respect de l’article 6 du RGPD

Collecte et usage de données personnelles dans le cadre du fonctionnement du logiciel de reconnaissance faciale sans base légale.

  • Non-respect des articles 12, 15 et 17 du RGPD

Difficultés dans l’exercice des droits : limitation à deux fois par an, aux données collectées durant les douze mois précédant la demande, et aux demandes insistantes.

Gestion non satisfaisante des demandes d’accès et d’effacement : réponse partielle ou absence de réponse.

  • Non-respect de l’article 31 du RGPD

Absence de coopération avec la CNIL, n’ayant répondu que de manière partielle au questionnaire de contrôle et n’ayant apporté aucune réponse à la mise en demeure.

Que retenir de la décision ?

  • Pour que le RGPD s’applique, il suffit que le traitement soit lié – effectué au moyen ou en lien – au suivi du comportement de personnes qui résident en Europe, sans qu’il ne soit exigé que la finalité première du traitement soit le suivi du comportement.
  • Pour se conformer à l’obligation de fourniture des informations obligatoires dans le cadre d’une demande d’accès, ces informations doivent apparaitre dans la réponse et il ne suffit pas de se contenter de fournir un lien vers la politique de confidentialité.
  • Le mécanisme de guichet unique n’est pas applicable dans le cas où le responsable de traitement se trouvant hors UE met en œuvre un traitement de données personnelles soumis au RGPD sans disposer ni d’un établissement principal, ni d’un établissement unique.

Le + DLD

  • Le fait qu’une donnée soit publiquement accessible ne lui fait par perdre son caractère personnel et les principes sur les données personnelles restent applicables.
  • Des plaintes adressées à la CNIL par les personnes concernées peuvent aboutir à un contrôle de la société sur le respect effectif des exigences liées à la règlementation sur les données personnelles.
  • Pour décider s’il y a lieu de prononcer une amende publique, la CNIL tient compte notamment de la gravité des manquements, du nombre des personnes concernées et des conséquences pour ces personnes.

Délibération Complète de la CNIL

Consulter

À lire aussi