La CNIL a publié en décembre 2021 une déci­sion de mise en demeure à l’encontre de la société améri­caine Clearview AI. Cette dernière commer­cia­lise un logi­ciel de recon­nais­sance faciale prin­ci­pa­le­ment pour les forces de l’ordre améri­caines. Bon nombre d’autorités de protec­tion des données à travers le monde s’y sont inté­res­sées, y compris notre Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (27e Rapport d’activités 2019/​20, p. 23).

En navi­guant sur le site web de la société Clearview AI, les slogans et témoi­gnages font rêver. Le logi­ciel déve­loppé permet­trait d’élucider de nombreuses affaires crimi­nelles aux États-Unis. Plus de 3 000 services de police améri­cains l’utilisent. Et pour­tant, malgré ses traits de gendre idéal, de nombreux problèmes ont été identifiés.

Le proces­sus de créa­tion du logi­ciel de recon­nais­sance faciale consiste à recueillir et ajou­ter à une base de données toutes les photo­gra­phies et images extraites de vidéos libre­ment acces­sibles sur lesquelles figurent des personnes. Des données biomé­triques en sont extraites et le logi­ciel déve­loppé permet ensuite d’effectuer une recherche par image, en l’occurrence avec la photo­gra­phie de la personne que l’on cherche à iden­ti­fier. Le résul­tat présente toutes les photo­gra­phies stockées par Clearview sur lesquelles figure la personne, avec l’URL lié et les méta­don­nées de l’image, en parti­cu­lier les données géogra­phiques lorsque celles-ci sont disponibles.

Ce procédé a permis à Clearview d’enregistrer jusqu’à main­te­nant envi­ron dix milliards d’images. À titre de compa­rai­son, le FBI n’aurait en sa posses­sion « que » 411 millions d’images, soit envi­ron 24 fois moins (New York Times du 18 janvier 2020).

L’application du RGPD

Comme la société Clearview AI n’est pas établie et n’offre pas ses services dans l’UE (art. 3 par. 2 let. a RGPD), mais traite néan­moins des données person­nelles rela­tives à des personnes concer­nées se trou­vant sur le terri­toire de l’Union, la CNIL examine dans un premier temps si son acti­vité pouvait être quali­fiée de suivi compor­te­men­tal au sens de l’art. 3 par. 2 let. b RGPD.

Ainsi, la CNIL a tout d’abord constaté que Clearview trai­tait effec­ti­ve­ment des données person­nelles, à savoir les photo­gra­phies sur lesquelles appa­raissent des personnes et les données biomé­triques qui en ont été extraites. En outre, une partie de ces personnes se trou­vaient sur le terri­toire de l’UE.

Afin de déter­mi­ner s’il existe un suivi compor­te­men­tal, la CNIL relève qu’en plus des photo­gra­phies, d’autres infor­ma­tions sont dispo­nibles dans les résul­tats de recherche, en parti­cu­lier le site web sur lequel figure l’image et les données de loca­li­sa­tion. Cela permet d’obtenir bien plus d’informations à propos de la personne recher­chée. Partant, la CNIL consi­dère que Clearview a procédé à un profi­lage des personnes concer­nées (art. 4 ch. 1 RGPD) . De plus, consi­dé­rant les moyens utili­sés pour créer le logi­ciel, l’autorité fran­çaise consi­dère que ce trai­te­ment est « lié au suivi du compor­te­ment » des personnes et que, au vu de l’automatisation du trai­te­ment, il s’agit d’un suivi sur inter­net. Partant, le RGPD s’applique au trai­te­ment de données effec­tué par Clearview (art. 3 par. 2 let. b. RGPD).

Au niveau procé­du­ral, étant donné que Clearview n’est pas établie dans l’UE, le système du guichet unique de l’art. 56 RGPD n’est pas appli­cable. Ainsi, chacune des auto­ri­tés des États membres a une compé­tence propre s’agissant de leur terri­toire. Pour cette raison, les effets de la déci­sion de mise en demeure de la CNIL sont limi­tés au terri­toire fran­çais. À titre d’exemple, l’autorité italienne de protec­tion des données a rendu le 10 février 2022 une déci­sion condam­nant Clearview à une amende de 20 millions d’euros s’agissant de manque­ments qui ont eu lieu sur le terri­toire italien.

Les manque­ments au RGPD

La CNIL constate une viola­tion du prin­cipe de licéité (art. 6 RGPD). Elle ne s’est inté­res­sée qu’à la ques­tion de savoir si le trai­te­ment était néces­saire aux fins des inté­rêts légi­times pour­sui­vis par le respon­sable du trai­te­ment (art. 6 par. 1 let. f RGPD), les autres motifs justi­fi­ca­tifs ayant été écar­tés sans autre justification.

Dans la pesée des inté­rêts effec­tuée, la CNIL rappelle que le trai­te­ment de données person­nelles publi­que­ment acces­sibles est soumis au RGPD ; il n’existe pas de droit géné­ral au trai­te­ment de ces données, à plus forte raison lorsque les personnes concer­nées n’en sont pas infor­mées. Un inté­rêt au trai­te­ment de ces données pour­rait être légi­time s’il est réalisé par exemple dans un but de recherche. Or l’intérêt de Clearview est pure­ment écono­mique. Celui-ci doit être mis en balance avec les inté­rêts et droits fonda­men­taux des personnes concer­nées. La CNIL soutient que le grand nombre de données récol­tées ainsi que la créa­tion du gaba­rit biomé­trique sur cette base consti­tuent une forte atteinte à la vie privée. Un point clé dans le raison­ne­ment est que les personnes publiant sur inter­net des photo­gra­phies sur lesquelles appa­raît leur visage ne peuvent raison­na­ble­ment pas s’attendre à ce qu’elles soient utili­sées pour créer un gaba­rit biomé­trique et un logi­ciel de recon­nais­sance faciale qui soit commer­cia­lisé à la police. La majo­rité ne se doute pas qu’un tel trai­te­ment de leurs données peut être réalisé, d’autant plus qu’il ne s’agit pas d’un logi­ciel auquel tout un chacun peut accé­der. Il n’y a donc pas d’intérêt légi­time de Clearview AI au trai­te­ment de ces données. Partant, le trai­te­ment est illicite.

La CNIL constate égale­ment deux autres manque­ments. Tout d’abord, les droits d’accès des personnes concer­nées n’étaient pas respec­tés (art. 15 RGPD). Des tests ont démon­tré qu’il faut attendre plusieurs mois et un nombre non négli­geable de relances pour exer­cer son droit d’accès. De plus, la société limite ce droit aux données collec­tées dans les douze mois avant la demande. Enfin, il n’a pas été donné suite aux demandes d’effacement des données quand bien même le trai­te­ment est illi­cite (art. 17 par. 1 let. d RGPD).

Mise en demeure

Au vu de tous ces éléments, la CNIL a ainsi mis en demeure Clearview de cesser son trai­te­ment, de suppri­mer les données enre­gis­trées et de faci­li­ter les droits d’accès et répondre aux demandes d’effacement des données. Un délai de deux mois avait été imparti à la société pour se mettre en confor­mité. Ce délai est aujourd’hui écoulé. La CNIL n’a depuis plus commu­ni­qué sur cette affaire et n’a notam­ment pas publié la clôture de la procé­dure (art. 20 II Loi Informatique et Libertés). Nous pouvons donc raison­na­ble­ment penser que Clearview ne s’est pas confor­mée à la déci­sion de mise en demeure.

Analyse

Il est choquant de consta­ter qu’une société privée ait pu extraire les données biomé­triques d’une très grande partie de la popu­la­tion mondiale sans réel obstacle autre que finan­cier, qu’elle offre ses services aux auto­ri­tés poli­cières améri­caines et que ce faisant elle ne respecte pas les droits des personnes concer­nées. Même si Clearview se vante des exploits que sa tech­no­lo­gie a permis d’obtenir dans des enquêtes pénales, un risque d’utilisation frau­du­leuse existe au vu du nombre d’autorités de forces de l’ordre qui ont accès à ce logi­ciel. De plus, même si les mesures de sécu­rité néces­saires rela­tives à l’emploi de ce logi­ciel sont prises, rien n’empêche des tiers de le créer à nouveau, la matière première du logi­ciel étant libre­ment dispo­nible, et de l’utiliser avec de mauvaises intentions.

Que peut-on faire ? Le PFPDT recom­mande dans son rapport d’ac­ti­vité que les utili­sa­teurs ne laissent pas leurs profils publics afin qu’on ne puisse pas y avoir accès sans être inscrit sur la plate­forme en ques­tion. Cela ne résout cepen­dant le problème que pour les photo­gra­phies qui seront publiées une fois le profil devenu privé. En effet, Clearview conserve les photo­gra­phies auxquelles elle a eu accès. Ainsi, même la suppres­sion de photo­gra­phies par les personnes concer­nées n’est pas suffisante.

Cette affaire révèle que, désor­mais, ce n’est plus simple­ment le fait de ne pas publier de photo compro­met­tante qui pour­rait se révé­ler problé­ma­tique pour celui qui figure dessus, mais que n’importe quelle photo­gra­phie publiée sur inter­net en libre accès peut permettre à autrui de créer un profil de la person­na­lité. De plus, ce logi­ciel, a priori très perfor­mant, a en réalité un taux d’erreur qui dépend de l’origine ethnique de la personne que l’on recherche, ce qui peut amener à de nombreuses compli­ca­tions, spéci­fi­que­ment dans le cadre d’une procé­dure pénale.

En Suisse, les forces de l’ordre semblent ne pas être inté­res­sées par l’utilisation de ce logi­ciel de recon­nais­sance faciale (27e Rapport d’activités 2019/​20, p. 23). Le trai­te­ment de données par Clearview pose égale­ment de nombreux problèmes sous l’angle de la (n)LPD et le trai­te­ment serait égale­ment illi­cite en droit suisse. Si le logi­ciel était néan­moins utilisé par les auto­ri­tés pénales suisses, nous consi­dé­rons que des problèmes de procé­dure pénale se pose­raient. Nous sommes d’avis que la règle sur l’exploitation des moyens de preuve obte­nus illé­ga­le­ment de l’art. 141 al. 2 CPP trou­ve­rait appli­ca­tion en l’espèce, en faisant spécia­le­ment réfé­rence aux art. 260 ss CPP qui règle­mentent la saisie, l’utilisation et la conser­va­tion de données biomé­triques par les auto­ri­tés pénales (dites signa­lé­tiques en matière de droit pénal suisse) et 282 ss CPP, rela­tifs aux mesures de surveillance secrètes d’observation. Les données signa­lé­tiques doivent en pratique être préle­vées par la police et en aucun cas par une société privée (CR–CPP Rohmer/​Vuille, art. 260 N 20 et 20a ; Jeanneret/​Kuhn, Précis de procé­dure pénale, 2^e éd., Berne 2018, N 14064). De plus, le CPP s’applique lorsqu’une infrac­tion a été commise, et non pas en amont de toute infrac­tion afin d’identifier tout un chacun. La personne concer­née est au courant du trai­te­ment de ses données. Enfin, le prin­cipe veut que les données soient conser­vées dans le dossier pénal, et non pas dans une base de données acces­sible à distance par n’importe qui.