Qu'est-ce que Clearview, la société condamnée en France pour avoir aspiré les photos de millions d'internautes ?

20 millions d'euros. L'amende infligée par la Cnil à l'entreprise américaine Clearview AI ne pouvait pas être plus lourde. Le gendarme français des données personnelles a infligé la plus haute sanction du barème du non-respect du règlement européen des données personnelles (RGPD) à l'encontre de cette startup controversée. Cette dernière commercialise un moteur de recherche dopé à la reconnaissance faciale et nourri par des milliards d'images publiquement accessibles aspirées sur Internet, dont la légalité est contestée par plusieurs gouvernements et plateformes technologiques. 

Deux ans après avoir ouvert le dossier de Clearview, la commission estime que la société collecte des photos d'internautes français de façon illégale sans recueillir leur consentement. "À la suite d'une mise en demeure restée sans réponse, la Cnil prononce une sanction de 20 millions d'euros et enjoint à la société Clearview AI de cesser de collecter et d'utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées", a indiqué la commission dans un communiqué.

Alertée par l'association Privacy International et des particuliers sur ces pratiques illicites, la Cnil avait ouvert une enquête en mai 2020, coordonnée à l'échelle européenne, qui l'a conduit fin novembre dernier à mettre Clearview en demeure de cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale et de donner suite aux demandes d’accès et d’effacement formulées par les personnes concernées. Mais les injonctions de l'autorité sont restées sans réponse. Clearview a désormais deux mois pour s'y plier, sous peine d'une astreinte de 100.000 euros par jour de retard au-delà de ce délai.

Une base de données de plus de 20 milliards d'images aspirées sur Internet

Fondée en 2017, Clearview a développé une technologie de reconnaissance faciale sans équivalent qu'elle présente comme "un outil d'enquête post-événement" auprès des forces de l'ordre de différents États américains et de plusieurs pays où elle le commercialise. À la manière d'un moteur de recherche, son programme prétend être en mesure de mettre un nom sur un visage en quelques secondes à partir d'une photo et de décliner des liens vers toutes les images publiques correspondantes, les adresses des sites Web associés et toutes les informations disponibles sur l'identité de la personne concernée. 

Clearview dit s'être constitué une base de données de plus de 20 milliards d'images récupérées à travers le monde, ce qui correspond potentiellement à plusieurs dizaines voire centaines de millions de personnes. Ces dernières ne sont, pour l'immense majorité, pas au courant de leur présence dans ces fichiers. La Cnil estime dans son communiqué que des millions d'internautes sont concernés en France.

Pour collecter ces images, Clearview a utilisé une méthode appelée le "scrapping". La société s'est appuyée sur des programmes automatisés qui aspirent des images et des informations accessibles sur Internet, via les comptes publics sur les réseaux sociaux et de nombreuses sources en ligne non privées comme Flickr ou Getty Images. Des photos aujourd'hui protégées par un compte privé sur Instagram ont de bonnes chances d'avoir été intégrées à la bibliothèque si elles étaient publiques à un moment donné. Idem pour des photos tagguées lors d'événements publics sur Facebook et des photos de profils publics sur LinkedIn. Clearview a aussi gonflé sa base de données en extrayant des captures de vidéos.

L'entreprise s'est fait connaître en proposant ses services à de nombreuses forces de police et agences gouvernementales sous la forme d'un essai gratuit d'un mois. Selon la presse américaine, près de 2.000 entités américaines officielles avaient basculé vers un abonnement annuel fin 2021, notamment le FBI et les services de l'immigration. Clearview compile par ailleurs sur son site des dizaines d'articles de presse dans lesquels la police affirme avoir réussi à retrouver un suspect grâce à ses algorithmes.

Des pratiques dénoncées par les grandes plateformes américaines

À la découverte des pratiques de Clearview, Facebook, Google, Twitter ou YouTube ont accusé l'entreprise de violer leurs conditions commerciales. Facebook, qui interdit la collecte automatisée de données sur sa plateforme, a banni le fondateur de Clearview du réseau social et sommé l'entreprise de cesser ses collectes. Mais Clearview assure que son activité est légale et constitutionnelle, protégée par le premier amendement, et qu'elle n'a pas besoin de recueillir le consentement des personnes car il s'agit de photos auxquelles le public a librement accès sur Internet.

Dans le viseur des régulateurs européens, la startup américaine a été sanctionnée en mai au Royaume-Uni et en mars en Italie d'amendes de respectivement 8,85 millions d'euros et 20 millions d'euros. Il lui a aussi été imposé de supprimer les données personnelles des résidents de ces deux pays.

Du côté des utilisateurs, il n'y a pas grand-chose à faire pour se prémunir des pratiques de cette société. Si le droit européen autorise les internautes européens à demander une copie de leurs données et leur suppression à l'entreprise, il n'est que rarement respecté, comme l'a constaté la Cnil : Clearview ne répondrait pas de manière effective aux demandes d'accès et d'effacement et fournirait seulement des réponses partielles lorsqu'elle le fait.  Selon le fondateur de Clearview, interrogé par l'AFP, "il n’y a aucun moyen de déterminer si une personne est de nationalité française, uniquement à partir d’une photo publique sur Internet, et il est donc impossible de supprimer les données des résidents français".