Clearview AI Inc v The Information Commissioner [2023] UKFTT 819 (GRC)

Contexte

Clearview AI, une entre­prise basée aux États-Unis, a déve­loppé une tech­no­lo­gie de recon­nais­sance faciale qui permet à ses utili­sa­teurs d’iden­ti­fier des personnes à partir de photos. L’entreprise a consti­tué une vaste base de données en collec­tant massi­ve­ment des photo­gra­phies dispo­nibles publi­que­ment sur Internet, ainsi que certaines méta­don­nées asso­ciées à ces images. Cette base de données est ensuite mise à la dispo­si­tion des forces de l’ordre et d’autres enti­tés pour les aider dans leurs enquêtes.

En mai 2022, l’autorité de surveillance britan­nique (l’ICO) impose à Clearview AI une amende de £7.5 millions en raison de sa collecte de données de rési­dents du Royaume-Uni et de la manière dont ces données étaient utilisées.

L’ICO reproche à Clearview AI de violer plusieurs dispo­si­tions du RGPD britan­nique. Pour rappel, avec le Brexit, le Royaume-Uni a inté­gré le RGPD euro­péen dans sa légis­la­tion natio­nale, créant ainsi une réplique quasi iden­tique du RGPD, compor­tant néan­moins des spéci­fi­ci­tés adap­tées au contexte post-Brexit du Royaume-Uni (le « RGPD britannique »).

Le cadre terri­to­rial du RGPD britan­nique est décrit à son article 3. Cette dispo­si­tion corres­pon­dant dans les grandes lignes à l’article 3 du RGPD, sous réserve des adap­ta­tions entre crochets ci-après :

Article 3 RGPD britan­nique : Territorial scope

1. This Regulation applies to the proces­sing of perso­nal data in the context of the acti­vi­ties of an esta­blish­ment of a control­ler or a proces­sor in [the United Kingdom], regard­less of whether the proces­sing takes place in [the United Kingdom] or not.
2. This Regulation applies to the [rele­vant] proces­sing of perso­nal data of data subjects who are in [the United Kingdom] by a control­ler or proces­sor not esta­bli­shed in [the United Kingdom], where the proces­sing acti­vi­ties are rela­ted to :

(a)the offe­ring of goods or services, irres­pec­tive of whether a payment of the data subject is requi­red, to such data subjects in [the United Kingdom]; or

(b)the moni­to­ring of their beha­viour as far as their beha­viour takes place within [the United Kingdom].

[2A. In para­graph 2, “rele­vant proces­sing of perso­nal data” means proces­sing to which this Regulation applies, other than proces­sing descri­bed in Article 2(1)(a) or (b) or (1A).]

3. This Regulation applies to the proces­sing of perso­nal data by a control­ler not esta­bli­shed in [the United Kingdom], but in a place where [domes­tic law] applies by virtue of public inter­na­tio­nal law.

Cet article 3 prévoit donc, pour les entre­prises n’ayant pas d’éta­blis­se­ment dans le Royaume-Uni (ou l’Union euro­péenne), que le RGPD britan­nique (respec­ti­ve­ment le RGPD euro­péen) s’ap­plique unique­ment si leurs acti­vi­tés de trai­te­ment sont liées à l’offre de biens ou de services à des indi­vi­dus dans le Royaume-Uni (respec­ti­ve­ment dans l’UE) ou à la surveillance de leur comportement.

Notion de suivi du compor­te­ment (« moni­to­ring »)

Dans le cas présent, Clearview AI n’a pas d’établissement au Royaume-Uni et ne four­nit pas de services à des indi­vi­dus (ni au Royaume-Uni, ni ailleurs). L’une des ques­tions centrales du litige concerne donc la notion de suivi du compor­te­ment (« moni­to­ring »), car en l’absence d’un tel suivi du compor­te­ment le RGPD (britan­nique) ne s’applique pas et l’amende pronon­cée par l’ICO est infondée.

Pour déter­mi­ner l’existence d’un suivi du compor­te­ment, le « First-tier Tribunal » britan­nique analyse d’abord la notion de compor­te­ment (« beha­viour »), qui n’est pas défi­nie dans le RGPD. Selon le Tribunal (cf. §§ 117 et suivants de la déci­sion), une inter­pré­ta­tion large et « ouverte » de cette notion est néces­saire, mais elle doit néces­sai­re­ment inclure une forme d’action (un verbe). Elle comprend notam­ment des infor­ma­tions sur ce que la personne fait, dit ou écrit, où elle est, avec qui elle est liée, ou ce qu’elle porte.

Le Tribunal inter­prète ensuite la notion de suivi (« monto­ring »). Il retient que le service de Clearview AI peut effec­ti­ve­ment être utilisé pour suivre le compor­te­ment d’individus, notam­ment pour les iden­ti­fier et les suivre (« tracking »), mais plus géné­ra­le­ment pour prendre des déci­sions à leur propos. Relevons que cette conclu­sion n’était pas néces­sai­re­ment évidente : après tout, le service sert prin­ci­pa­le­ment à iden­ti­fier des indi­vi­dus et cela ne consti­tue pas encore un suivi du compor­te­ment. Toutefois le service permet notam­ment de « placer » des indi­vi­dus dans des lieux spéci­fiques et de tirer des conclu­sions sur leur présence dans ces lieux, ce qui selon le Tribunal consti­tue bel et bien un suivi de leur compor­te­ment (cf. § 123 de la décision).

Un « moni­to­ring » ? Oui, mais par qui ? 

Clearview AI ne contes­tait pas cette conclu­sion. Elle soute­nait par contre que ses acti­vi­tés de trai­te­ment de données n’étaient pas direc­te­ment liées au suivi du compor­te­ment des indi­vi­dus, mais plutôt à la four­ni­ture d’un service à ses clients, prin­ci­pa­le­ment des agences de main­tien de l’ordre étran­gères. En d’autres termes, Clearview AI ne surveille pas direc­te­ment le compor­te­ment d’individus : ce sont ses clients qui peuvent utili­ser le service pour moni­to­rer des individus.

Le Tribunal va juger que cet argu­ment n’est pas perti­nent. Il analyse deux trai­te­ments de données par Clearview AI :

1. Traitement 1 – créa­tion et main­te­nance de la base de données : Clearview AI collecte, traite et stocke des milliards d’images pour créer une vaste base de données.
2. Traitement 2 – recherche d’images : lors­qu’un client envoie une image à Clearview AI, l’en­tre­prise la compare à sa base pour trou­ver des corres­pon­dances, puis renvoie les résultats.

Le Tribunal retient tout d’abord que Clearview AI agit en tant que respon­sable du trai­te­ment indé­pen­dant pour le Traitement 1. Ce point n’était pas contesté. Il retient ensuite que Clearview AI est un respon­sable conjoint du trai­te­ment aves ses clients pour le Traitement 2, car (i) la société déter­mine les fina­li­tés du trai­te­ment par ses clients en détaillant dans ses condi­tions géné­rales la manière dont le service peut être utilisé (!) et (ii) la société et ses clients déter­minent ensemble les moda­li­tés du trai­te­ment. Cela signi­fie que le suivi du compor­te­ment est effec­tué conjoin­te­ment par Clearview AI (en tout cas pour le Traitement 2), rendant le RGPD en prin­cipe appli­cable à cette société.

Dans un raison­ne­ment alter­na­tif, le Tribunal retient que le RGPD s’applique même si le suivi du compor­te­ment est effec­tué par un tiers. Ce qui compte, c’est que le compor­te­ment d’individus soit suivi, pas l’entité qui effec­tue direc­te­ment ce suivi :

138 [… ] « We agree that the use of the words “the moni­to­ring” as oppo­sed to “their moni­to­ring” indi­cates that the mischief is the moni­to­ring and not who is doing the moni­to­ring. If that were the case and Article 3 were restric­ted in the way conten­ded for by [Clearview AI] this would mean that it would be a simple matter for a controller/​processor to avoid Article 3 by dividing/​delegating their proces­sing and moni­to­ring acti­vi­ties to different legal persons ; “outsour­cing” it as descri­bed by the Commissioner in order to avoid liability. »

Ce point est suffi­sam­ment impor­tant pour être répété : le RGPD peut s’appliquer en vertu de l’article 3(2)(b) RGPD même si le suivi du compor­te­ment est effec­tué par un tiers (ici les clients du respon­sable de trai­te­ment). Enfin, le Tribunal retient que les acti­vi­tés de trai­te­ment de Clearview AI, y compris le Traitement 1, sont bien liées au suivi du compor­te­ment effec­tué par ses clients, car ce suivi ne pour­rait pas avoir lieu sans le Traitement 1 et que le but du Traitement 2 par Clearview AI est juste­ment de permettre ce suivi. Par contre, le Tribunal n’analyse pas si compor­te­ment suivi inter­vient sur le terri­toire du Royaume-Uni, ce qui est pour­tant une condi­tion néces­saire pour l’application de l’art. 3(2)(b) (lequel prévoit : « the moni­to­ring of their beha­viour as far as their beha­viour takes place within [the United Kingdom]”).

Il en résulte que la condi­tion de l’article 3(2)(b) RGPD (britan­nique ou euro­péen) est selon l’avis du Tribunal bien remplie dans le cas présent.

Le RGPD britan­nique ne s’ap­plique toute­fois pas à Clearview AI…

Malgré la conclu­sion précé­dente, le tribu­nal retient en défi­ni­tive que le RGPD britan­nique ne s’ap­plique pas à Clearview AI dans ce cas précis et annule donc la sanc­tion pronon­cée par l’ICO contre cette société.

Le Tribunal juge en effet que les acti­vi­tés de trai­te­ment de Clearview AI sont liées à des acti­vi­tés qui tombe­raient hors du champ d’ap­pli­ca­tion du droit de l’Union euro­péenne – et donc du champ d’application maté­riel du RGPD selon l’art. 2(2)(a) RGPD – puisqu’elles sont intrin­sè­que­ment liées aux acti­vi­tés de pour­suite pénale et de rensei­gne­ment des gouver­ne­ments étran­gers (Clearview AI four­nit son service exclu­si­ve­ment à des forces de l’ordre (police) ou aux orga­nismes de sécu­rité natio­nale non britanniques/​européens, ainsi qu’à leurs sous-trai­tants). Le raison­ne­ment du Tribunal se fonde pour le surplus sur des spéci­fi­ci­tés liées à la situa­tion britan­nique post-Brexit qui conduisent au même résul­tat, soit que le RGPD britan­nique ne s’applique maté­riel­le­ment pas au cas présent, même s’il est terri­to­ria­le­ment appli­cable. L’analyse du Tribunal sur ce critère de l’application maté­rielle nous semble pour le moins discu­table et il n’est à notre avis pas exclu qu’une auto­rité de recours, si elle est saisie, contre­dise le Tribunal sur cet élément (qui est déci­sif dans le cas présent, mais moins perti­nent pour le lecteur suisse).

Il faut enfin rappe­ler que le trai­te­ment des données person­nelles par des auto­ri­tés de l’UE à des fins de préven­tion et de détec­tion des infrac­tions pénales, d’en­quêtes et de pour­suites en la matière ou d’exé­cu­tion de sanc­tions pénales n’est pas régi par le RGPD mais par la Directive 2016/​680. Selon le Tribunal, il convien­drait d’analyser cette direc­tive si Clearview AI offrait son service aux forces de l’ordre britan­niques (et proba­ble­ment euro­péennes). Rien dans le cas d’espèce ne laisse suppo­ser que ce soit le cas.

Clearview AI peut donc conti­nuer à collec­ter les images et vecteurs biomé­triques des rési­dents britan­niques au profit des auto­ri­tés non euro­péennes, en tout cas jusqu’à ce que la déci­sion soit portée devant une instance supérieure.

Implications pour les entre­prises suisses

Si l’arrêt Clearview AI porte sur le RGPD britan­nique, ses consi­dé­ra­tions concer­nant la notion de suivi du compor­te­ment sont à notre avis perti­nentes pour l’interprétation du RGPD. Le Tribunal britan­nique retient de manière claire que le RGPD (qu’il soit euro­péen ou britan­nique) peut s’appliquer même si le suivi du compor­te­ment est effec­tué par un tiers.

Pour les four­nis­seurs de services basés en Suisse, il est donc impor­tant d’analyser non pas unique­ment leurs propres acti­vi­tés, mais égale­ment la manière dont leurs services seront utili­sés par leurs clients, afin de déter­mi­ner si le RGPD s’applique à eux. Ceci implique d’analyser en profon­deur les rôles et respon­sa­bi­li­tés en matière de trai­te­ment des données des diffé­rents acteurs liés à chaque traitement.

L’arrêt Clearview AI doit être mis en paral­lèle avec la déli­bé­ra­tion de la forma­tion restreinte de la CNIL du 20 décembre 2022 concer­nant l’application du RGPD à la société Lusha. Dans cette affaire, la CNIL a retenu que le RGPD ne s’applique pas à Lusha – qui collecte pour­tant sur inter­net les coor­don­nées de rési­dents fran­çais – car aucun des critères de l’article 3 RGPD ne peut être retenu. La CNIL avait d’ailleurs expres­sé­ment exclu un suivi du compor­te­ment, esti­mant que « 47 (…) la consti­tu­tion de la base de données par [Lusha] repose unique­ment sur le rappro­che­ment entre des données de contacts profes­sion­nels (télé­phone, adresse élec­tro­nique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en véri­fier la véra­cité. (…) [Lusha] n’utilise pas de tech­niques de trai­te­ment de données à carac­tère person­nel qui consistent en un profi­lage d’une personne physique ». Dans ce cas, la CNIL ne semble pas s’être inté­res­sée à l’utilisation faite par les utili­sa­teurs de Lusha des services. Le cas ne s’y prêtait toute­fois pas néces­sai­re­ment et les déve­lop­pe­ments de l’af­faire Clearview AI apportent à notre avis un éclai­rage inté­res­sant à cette théma­tique complexe.