Les amendes du RGPD ne cessent de s’accumuler pour Clearview AI, une startup américaine connue pour ses services de reconnaissance faciale poussés (et potentiellement dangereux).
Suite à des mesures similaires prises par les autorités de protection des données en France, en Italie et en Grèce, l’Autorité de protection des données des Pays-Bas (DPA) a infligé aujourd’hui une amende de 30,5 millions d’euros à Clearview pour sa base de données « illégale » de photos.
Cela porte le total des amendes de la société dans l’UE à 90,5 millions d’euros.
Clearview propose ses solutions de reconnaissance faciale aux services de renseignement et d’enquête, qui peuvent bénéficier d’une base de données de plus de 50 milliards d’images faciales. Pour cette base de données, la startup collecte des photos provenant de sources publiques sur Internet. Cela inclut les profils des réseaux sociaux paramétrés en mode public.
En substance, cela signifie qu’une photo que vous ou moi pouvons avoir sur Facebook ou Instagram est susceptible de faire partie de la base de données de Clearview, permettant un suivi et une identification potentiels. Naturellement, sans notre connaissance ou notre consentement.
« Ce n’est pas un scénario apocalyptique tiré d’un film d’horreur. Ce n’est pas non plus quelque chose qui ne peut être fait qu’en Chine », a déclaré le président de la DPA, Aleid Wolfsen.
Les violations du RGPD par Clearview
Après enquête, la DPA a confirmé que des photos de citoyens néerlandais figurent dans la base de données. Elle a également constaté que Clearview est responsable de deux violations du RGPD.
La première est la collecte et l’utilisation de photos.
« Clearview n’aurait jamais dû créer la base de données avec des photos, des codes biométriques uniques et d’autres informations liées à celles-ci », a déclaré l’autorité de protection des données.
La seconde est le manque de transparence. Selon le DPA, la startup n’offre pas suffisamment d’informations aux personnes dont les photos sont utilisées, et ne donne pas accès aux données que la société possède à leur sujet.
Un porte-parole des relations publiques de Clearview a envoyé par courriel à TNW une déclaration écrite du directeur juridique de la startup, Jack Mulcaire.
« Clearview AI n’a pas d’établissement aux Pays-Bas ou dans l’UE, n’a aucun client aux Pays-Bas ou dans l’UE et n’entreprend aucune activité qui signifierait qu’elle est soumise au RGPD », a déclaré Mulcaire.
« Cette décision est illégale, dénuée de procédure régulière et inapplicable. »
Mais selon le DPA, la société n’a pas contesté la décision et ne peut pas faire appel de l’amende.
L’autorité néerlandaise impose également une pénalité supplémentaire de 5,1 millions d’euros en cas de non-respect si Clearview ne met pas fin aux violations. En outre, le DPA étudiera la possibilité de tenir la direction de l’entreprise « personnellement responsable » – et donc soumise à des amendes.
Comme on pouvait s’y attendre, l’utilisation de la technologie de Clearview par des organisations néerlandaises est désormais interdite.
« La reconnaissance faciale est une technologie hautement intrusive, que vous ne pouvez pas simplement déployer sur n’importe qui dans le monde », a déclaré Wolfsen.
Entre-temps, la semaine dernière, le DPA a infligé à Uber une amende de 290 millions d’euros pour avoir transféré des données « sensibles » de conducteurs aux États-Unis. Dans ce cas, la société de covoiturage va faire appel de la décision.