La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET, Monsieur Bertrand du MARAIS et Monsieur Alain DRU, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2020-116C de la présidente de la Commission nationale de l’informatique et des libertés du 26 août 2020 de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société CLEARVIEW AI ;
Vu la décision n° MED 2021-134 du 26 novembre 2021 mettant en demeure la société CLEARVIEW AI ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 2 juin 2022 ;
Vu le rapport de Monsieur Claude CASTELLUCCIA, commissaire rapporteur, notifié à la société CLEARVIEW AI le 14 juillet 2022 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 13 octobre 2022 ;
Vu les autres pièces du dossier ;
Était présent, lors de la séance de la formation restreinte, Monsieur Claude CASTELLUCCIA, commissaire, entendu en son rapport.
Dûment convoquée, par pli remis contre signature le 20 septembre 2022, la société CLEARVIEW AI n’était pas représentée lors de la séance de la formation restreinte.
Après en avoir délibéré, la formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société CLEARVIEW AI (ci-après " la société " ou " Clearview AI "), établie aux États-Unis, a été créée en 2017. Elle a développé un logiciel de reconnaissance faciale, dont la base de données repose sur l’aspiration d’images publiquement accessibles sur Internet, qui permet d’identifier une personne à partir d’une photographie la représentant.
A. L’origine de la procédure
2. La Commission nationale de l’informatique et des libertés (ci-après " la CNIL ") a été saisie entre mai et décembre 2020 de plusieurs réclamations relatives aux difficultés rencontrées par les plaignants pour exercer leurs droits d’accès et d’effacement auprès de la société.
3. En application de la décision n° 2020-116C du 26 août 2020 de la présidente de la CNIL, une délégation de la Commission a procédé à une mission de contrôle sur pièces par l’envoi d’un questionnaire le 27 octobre 2020, auquel la société a répondu par un courrier du 27 novembre suivant. Ce questionnaire portait sur les différents traitements mis en œuvre par la société, les organismes utilisateurs des services de la société (actuels ou anciens) ayant leur établissement principal en France ou au sein de l’Union européenne ainsi que les réclamations n° […] et n° […].
4. Le 27 mai 2021, la CNIL a été saisie d’une plainte de l’organisme Privacy International (saisine n° […]).
5. Dans le cadre de l’assistance mutuelle prévue à l’article 61 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le " RGPD " ou le " Règlement), la CNIL s’est vu communiquer des informations utiles par ses homologues européens.
B. La mise en demeure adressée à la société CLEARVIEW AI par la présidente de la CNIL
6. Par décision n° 2021-134 du 26 novembre 2021, la présidente de la CNIL a mis en demeure la société CLEARVIEW AI de se conformer sous un délai de deux mois aux dispositions des articles 6, 12, 15 et 17 du RGPD.
7. En l’absence de réponse à la mise en demeure de la présidente de la CNIL et à deux relances, la présidente de la Commission a, le 2 juin 2022, désigné M. Claude CASTELLUCCIA en qualité de rapporteur, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
8. À l’issue de son instruction, le rapporteur a fait notifier à la société, le 14 juillet 2022, un rapport détaillant les manquements aux dispositions du RGPD qu’il estimait constitués en l’espèce.
9. La société n’a pas produit d’observation écrite en réponse à ce rapport et le dossier a été inscrit à l’ordre du jour de la séance de la formation restreinte du 13 octobre 2022.
10. Le rapporteur a présenté des observations orales lors de la séance de la formation restreinte.
C. Le traitement en cause
11. Il ressort des informations transmises dans le cadre de la coopération entre autorités de contrôle, d’informations publiquement accessibles ainsi que des réclamations reçues par la CNIL que la société utilise une technologie propre pour indexer les pages web librement accessibles. Elle collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web. Des photographies sont ainsi extraites notamment de réseaux sociaux (par exemple, Twitter ou Facebook), de sites professionnels contenant des photographies de leurs salariés, de blogs et de tous sites web sur lesquels des photographies de personnes sont publiquement accessibles. Des images sont également extraites de vidéos disponibles en ligne, par exemple sur le site www.youtube.com. Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites " pour adultes " ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte.
12. La collecte de ces images sur des réseaux sociaux porte sur l’ensemble des images accessibles au moment de la collecte à une personne non connectée au réseau en cause. En dehors des réseaux sociaux, la collecte concerne l’ensemble des images accessibles au moment de la collecte à un moteur de recherche. La société a ainsi collecté plus de vingt milliards d’images à travers le monde.
13. À partir de chaque photographie collectée, la société calcule un gabarit biométrique. Une empreinte numérique unique, propre au visage tel qu’il apparaît sur la photographie (basée sur les points du visage) est ainsi générée. Les milliards d’images sont ensuite enregistrées dans une base de données sous une forme permettant de les rechercher (à l’aide de l’empreinte numérique).
14. La société commercialise l’accès à une plateforme en ligne sur laquelle se trouve un moteur de recherche. Cet outil fonctionne en y téléchargeant une photographie d’un visage. À partir de cette photographie, l’outil calcule l’empreinte numérique correspondante à celle-ci et effectue, dans la base de données, une recherche des photographies auxquelles sont liées des empreintes similaires. Le logiciel produit un résultat de recherche, composé de photographies, auxquelles est associé l’URL de la page web à partir de laquelle elles ont été extraites (réseau social, article de presse, blog …). Ce résultat de recherche compile ainsi l’ensemble des images collectées par la société au sujet d’une personne ainsi que le contexte dans lequel ces images sont en ligne, tel que, par exemple, un compte de réseau social ou un article de presse.
15. Ce traitement vise à identifier la personne de façon unique à partir d’une photographie de l’individu. Il s’agit donc d’un dispositif de reconnaissance faciale.
16. La société décrit le service qu’elle offre comme " un outil de recherche utilisé par les forces de l’ordre (" law inforcement ") pour identifier des auteurs et des victimes d’infractions " à partir d’une photographie. Il est indiqué sur son site web que cet outil permet par exemple à des " analystes " d’effectuer une recherche en téléchargeant des images de scènes de crime afin de les comparer à celles qui sont publiquement accessibles. D’après la société, les forces de l’ordre peuvent ainsi utiliser cet outil afin d’identifier une personne pour laquelle elles disposent d’une image (par exemple, issue d’un enregistrement de vidéosurveillance) mais dont elles ne connaissent pas l’identité.
17. Il y a lieu de relever que les opérations de traitement mises en œuvre par la société afin de collecter des données et constituer une base de données, à laquelle un moteur de recherche accède pour fournir un résultat, sont ici analysées dans leur ensemble, au regard de leur finalité commune, qui est de commercialiser un moteur de recherche fondé sur la reconnaissance faciale (ci-après " le traitement en cause ").
II. Motifs de la décision
A. Sur l’applicabilité du RGPD
18. En vertu de l’article 3, paragraphe 2 du RGPD : " Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : […] b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l'Union. ". La formation restreinte souligne que le RGPD n'exige pas, pour être applicable, que la finalité du traitement soit le suivi du comportement, mais qu’il soit " lié " au suivi du comportement de personnes résidant en Europe.
19. Le considérant 24 du RGPD précise à cet égard que " Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit ".
20. À titre d’éclairage, dans ses lignes directrices 3/2018 relatives au champ d’application territorial du RGPD dans leur version du 12 novembre 2019, le Comité européen de protection des données (ci-après " le CEPD ") relève que, " contrairement à la disposition de l’article 3, paragraphe 2, point a), ni l’article 3, paragraphe 2, point b), ni le considérant 24 n’introduisent expressément un degré nécessaire d’ " intention de cibler " de la part du responsable du traitement ou du sous-traitant pour déterminer si l’activité de surveillance déclencherait l’application du RGPD aux activités de traitement. Toutefois, l’utilisation du mot " suivi " implique que le responsable du traitement poursuit un objectif spécifique en vue de la collecte et de la réutilisation ultérieure des données pertinentes relatives au comportement d’une personne au sein de l’Union. Le comité n’estime pas que la collecte ou l’analyse en ligne de données à caractère personnel relatives à des personnes dans l'Union serait automatiquement considérée comme un " suivi ". Il sera nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données. Le comité tient compte du libellé du considérant 24, qui indique que pour déterminer si le traitement implique le suivi du comportement d'une personne concernée, le suivi des personnes physiques sur l’internet, y compris l’utilisation ultérieure potentielle de techniques de profilage, constitue un facteur important ".
21. Dans la mesure où la société n’est pas établie dans l’Union européenne, il convient donc, pour que le RGPD soit applicable au traitement en cause, de déterminer si la société traite des données à caractère personnel relatives à des personnes concernées sur le territoire de l’Union européenne et si ce traitement est lié au suivi du comportement de ces personnes.
22. En premier lieu, il ressort de la politique de confidentialité de la société qu’elle collecte notamment :
- des photographies publiquement accessibles sur Internet ;
- les informations qui peuvent être extraites de ces photographies, telles que les métadonnées de géolocalisation que la photographie peut contenir ;
- les informations dérivées de l’apparence faciale des personnes figurant sur ces photographies.
23. Ces trois catégories de données constituent des données à caractère personnel de la personne dont le visage apparaît sur la photographie en cause. En effet, la notion de donnée à caractère personnel est définie dans le RGPD comme " toute information se rapportant à une personne physique identifiée ou identifiable […] ", cette identification pouvant se rapporter notamment " à un ou plusieurs éléments spécifiques propres à son identité physique ". L’image de la personne photographiée ou filmée constitue une donnée à caractère personnel dès lors que la personne est identifiable, c'est-à-dire qu’elle peut être reconnue (voir CJUE, quatrième chambre, 11 décembre 2014, Rynes, C-212/13, point 22 et CJUE, deuxième chambre, 14 février 2019, F.K., C-345/17). En outre, cette image peut être comparée (par un procédé automatisé ou non) avec une image détenue par ailleurs et rattachée à une personne identifiée de sorte que l’identité de cette personne peut être déduite.
24. La société traite en outre des données biométriques associées à ces images. En effet, les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales, constituent des données biométriques, au sens de l’article 4.1.14 du Règlement. Ces données sont généralement désignées sous le nom de " gabarits biométriques " et constituent des données distinctes des images sources (voir CNIL, SP, 25 juin 2020, Avis sur projet de décret, PASP, n° 2020-064, publié).
25. De plus, les images collectées concernent des personnes situées dans l’Union européenne. En effet, cette collecte n’est pas limitée géographiquement au territoire américain sur lequel est établie la société, puisque ces données sont collectées sur Internet, notamment à partir de réseaux sociaux mondiaux.
26. Par conséquent, la société traite des données à caractère personnel de personnes physiques situées dans l’Union européenne et, en particulier, en France.
27. En second lieu, il convient de vérifier si l’activité de traitement en cause peut être considérée comme " liée au suivi du comportement " des personnes concernées au sens de l’article 3 du RGPD. Il y a lieu de relever que le RGPD n’est pas seulement applicable au traitement dont la finalité première est de suivre le comportement d’une personne résidant dans l’Union européenne, mais à tous les traitements qui sont " liés " à un tel suivi, c’est à dire qui sont effectués au moyen ou en lien avec des opérations de suivi des personnes résidant en Europe.
28. Conformément au considérant 24 du RGPD, la notion de suivi sur Internet comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique. Le profilage est défini à l’article 4.1.4 du RGPD comme " toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ".
29. Premièrement, le traitement en cause amène à la création d’un profil comportemental de chacune des personnes dont les données sont collectées.
30. Il ressort en effet des informations transmises dans le cadre de la coopération entre autorités de contrôle, que l’outil en cause permet de générer, à partir d’une image et sous réserve d’une marge d’erreur technique, un résultat de recherche contenant l’ensemble des photographies collectées par la société, sur lesquelles apparait un visage ayant un gabarit biométrique suffisamment proche du visage figurant sur la photographie qui sert à la recherche.
31. Le profil ainsi créé, relatif à une personne, est composé de photographies mais également de l’adresse URL de l’ensemble des pages web sur lesquelles se trouvent ces photographies. Or, la mise en relation des photographies et du contexte dans lequel elles sont présentées sur un site web permet de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences. S’agissant en particulier des réseaux sociaux, une photographie ainsi que l’URL d’origine de cette photographie sont fortement susceptibles de permettre d’identifier le compte de la personne concernée. Les photographies peuvent également avoir été mises en ligne afin d’illustrer un article de presse ou de blog, qui est dès lors susceptible de contenir des informations précises relatives à la personne concernée et ainsi des éléments ayant trait à son comportement.
32. En outre, le résultat de recherche affiché peut également comprendre des métadonnées, telles que les métadonnées de géolocalisation, qui sont susceptibles d’être contenues dans les photographies ou les vidéos. Ces données permettent de compléter le profil d’une personne.
33. Par ailleurs, un tel résultat de recherche permet également d’identifier le comportement d’une personne sur Internet, par l’analyse des informations que cette personne a choisi de mettre en ligne ainsi que leur contexte. En effet, la mise en ligne de photographies constitue en soi un comportement de la personne concernée, en reflétant des choix sur le niveau d’exposition qu’elle souhaite donner à des éléments de sa vie privée ou professionnelle.
34. Par conséquent, il convient de considérer que le résultat de recherche qui est associé à une photographie doit être qualifié de profil comportemental de la personne concernée dans la mesure où il contient de nombreuses informations relatives à cette personne, et en particulier à son comportement, ou permet d’accéder à celles-ci. Le traitement en cause constitue ainsi un profilage au sens de l’article 4.1.4 en ce qu’il permet d’évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser des éléments concernant ses préférences personnelles, ses intérêts, son comportement ou sa localisation.
35. Enfin, il convient de relever qu’un tel profil comportemental concerne principalement des comportements qui ont eu lieu au sein de l’Union européenne. En effet, dans la mesure où il s’agit de personnes résidant dans l’Union, elles exercent l’essentiel de leur activité en ligne dans l’Union. De plus, dans la mesure où ces personnes résident dans l’Union, les informations relatives à leur vie privée et à leur vie professionnelle sont en majorité relatives à des comportements qui ont lieu dans l’Union.
36. À supposer que la finalité même du traitement ne soit pas le suivi comportemental, les moyens mis en œuvre pour permettre le système d’identification biométrique de la société impliquent la constitution d’un tel profil, et le traitement doit être regardé comme " lié au suivi du comportement " des personnes concernées.
37. Deuxièmement, le traitement automatisé de données permettant la création de ce profil comportemental et sa mise à disposition des personnes effectuant les requêtes dans le moteur de recherche de la société doit être qualifié de suivi sur Internet.
38. En effet, la finalité même de l’outil commercialisé par Clearview AI est de pouvoir identifier et recueillir certaines informations relatives à une personne. La mise en œuvre des différentes étapes des traitements décrits supra, et notamment de techniques biométriques permettant de singulariser un individu, amènent à la création d’un profil comportemental. Or, ce profil est créé en réponse à une recherche effectuée par une personne et relative à un individu figurant sur une photographie.
39. En outre, la recherche peut être renouvelée dans le temps, ce qui permet de constater une évolution des informations relatives à une personne, notamment si les résultats des recherches successives sont comparés. En effet, la base de données étant mise à jour régulièrement, des recherches successives permettent de suivre l’évolution d’un profil dans le temps.
40. Par conséquent, le fait qu’une recherche ponctuelle permette, à tout moment, l’accès au profil d’une personne tel que décrit précédemment doit être considéré comme le suivi du comportement de personnes.
41. La formation restreinte estime donc que le traitement mis en œuvre est lié au suivi du comportement des personnes concernées au sens des dispositions de l’article 3.2.b) du RGPD et ressortit du champ d’application territorial du RGPD.
42. Il résulte par ailleurs de l’ensemble de ce qui précède que la société Clearview AI, qui définit les finalités et moyens du traitement, doit être considérée comme responsable de traitement s’agissant de la constitution de la base de données, qui sert ensuite à commercialiser son service.
B. Sur la compétence de la CNIL et l’absence d’applicabilité du guichet unique
43. L’article 55.1 du RGPD dispose que " chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’Etat membre dont elle relève ".
44. L’article 56.1 prévoit : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60. "
45. Le considérant 122 du RGPD précise : " Chaque autorité de contrôle devrait être compétente sur le territoire de l'État membre dont elle relève pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement. Cela devrait couvrir, notamment, […] le traitement effectué par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union lorsque ce traitement vise des personnes concernées résidant sur le territoire de l'État membre dont elle relève. […] "
46. Il ressort d’une lecture combinée des articles 55 et 56 du RGPD que, dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en œuvre un traitement transfrontalier soumis au RGPD mais qu’il n’y dispose ni d’un établissement principal, ni d’un établissement unique, le mécanisme du guichet unique prévu à l’article 56 du RGPD n’a pas vocation à s’appliquer. Chaque autorité de contrôle nationale est donc compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève.
47. En l’espèce, la société est établie aux États-Unis d’Amérique et ne dispose d’aucun établissement sur le territoire d’un État membre de l’Union européenne.
48. Par conséquent, la formation restreinte considère que le mécanisme du guichet unique n’est pas applicable et que la CNIL est compétente pour veiller, sur le territoire français, à ce que les traitements soient mis en œuvre conformément aux dispositions du RGPD.
C. Sur le manquement à l’obligation de disposer d’une base juridique pour les traitements mis en œuvre
49. L’article 6 du RGPD dispose que : " Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. "
50. Le considérant 47 du RGPD précise que " Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. […] "
51. Le rapporteur considère que la société ne dispose d’aucune base juridique pour le traitement en cause, en méconnaissance de l’article 6 du Règlement.
52. La société n’a fait valoir aucune observation en défense.
53. La formation restreinte rappelle que, pour être licite, un traitement de données à caractère personnel doit donc reposer sur l’une des bases juridiques visées ci-dessus.
54. Il ressort des informations transmises dans le cadre de la coopération entre autorités de contrôle que le logiciel de reconnaissance faciale mis en œuvre par la société repose sur la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d’images contenant des visages, à l’aide d’une technologie exclusive pour indexer les pages web librement accessibles.
55. La société procède ensuite à un traitement des données collectées afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d’une autre image.
56. Ce traitement est réalisé par la société à des fins exclusivement commerciales, indépendamment du fait que le moteur de recherche serait utilisé par des forces de l’ordre dans certains États.
57. Dans le cadre des investigations menées par la CNIL, la société a été interrogée sur le fondement juridique de ce traitement, au sens de l’article 6 du RGPD. La société n’a apporté aucune réponse sur ce point. La politique de confidentialité de la société, précédemment évoquée, n’évoque pas davantage le fondement juridique dudit traitement.
58. Il peut être relevé d’emblée que la société n’a pas recueilli le consentement des personnes concernées au traitement de leurs données à caractère personnel.
59. En outre, la formation restreinte remarque que, compte tenu de la nature des traitements en cause, les fondements juridiques prévus par les dispositions de l’article 6.1 sous b), c), d) et e), du RGPD et liés à l’exécution d’un contrat, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et à l’exécution d’une mission d’intérêt public ne trouvent pas à s’appliquer en l’espèce.
60. En ce qui concerne le fondement juridique lié aux intérêts légitimes poursuivis par le responsable de traitement, prévu par l’article 6. 1. f) du Règlement, il y a lieu de rappeler que le caractère " publiquement accessible " d’une donnée n’influe pas sur la qualification de donnée à caractère personnel et qu’il n’existe aucune autorisation générale permettant de réutiliser et de traiter de nouveau des données à caractère personnel publiquement disponibles, en particulier à l’insu des personnes concernées.
61. À titre illustratif, le groupe de travail de l’article 29 (dit " G29 " devenu le CEPD), dans son Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, a noté à cet égard que " les données à caractère personnel, même si elles ont été rendues publiques, restent considérées comme des données à caractère personnel " et que " leur traitement continue donc à requérir des garanties appropriées ". Tout en reconnaissant que le fait que les données à caractère personnel soient accessibles au public peut être un facteur pertinent pour conclure à l’existence d’intérêts légitimes, le CEPD a ensuite averti que ce ne serait le cas que " si leur publication s’accompagnait d’une attente raisonnable d’utilisation ultérieure des données à certaines fins par exemple, pour des travaux de recherche ou dans un souci de transparence et de responsabilité. "
62. En outre, pour que le responsable de traitement puisse se prévaloir de cette base juridique, le traitement doit être nécessaire aux fins des intérêts légitimes qu’il poursuit, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux des personnes concernées.
63. Même si l’intérêt de la société était fondé sur l’intérêt économique qu’elle tire de l’exploitation de la base de données en cause, cet intérêt devrait toutefois être mis en balance avec les intérêts ou les libertés et droits fondamentaux des personnes concernées, compte tenu des attentes raisonnables des personnes fondées sur leur relation avec le responsable du traitement, conformément à l’article 6.1.f) du RGPD, lu à la lumière du considérant 47 et de l’avis précité sur la notion d’intérêt légitime.
64. En l’espèce, le traitement présente un caractère intrusif particulièrement fort : la société recueille sur une personne donnée un grand nombre de données photographiques, auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de la vie privée. À partir de ces données, est constitué un gabarit biométrique, c’est-à-dire une donnée biométrique permettant, si elle est fiable, d’identifier la personne de façon unique à partir d’une photographie de la personne : la détention d’une telle donnée par un tiers constitue une atteinte forte à la vie privée. Enfin, ce traitement concerne un nombre extrêmement élevé de personnes.
65. Par ailleurs, il convient notamment de déterminer si les personnes concernées pouvaient raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un tel traitement par la société Clearview AI. À cet égard, il n’existe aucune relation entre la société et les personnes concernées. Si elles peuvent raisonnablement s’attendre à ce que des tiers accèdent ponctuellement aux photographies en cause, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale. Enfin, le logiciel exploité par la société n’est pas public et la grande majorité des personnes concernées ignorent son existence.
66. Il doit donc être considéré que les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d’un autre responsable de traitement, ne s’attendent pas à ce que celles-ci soient réutilisées pour les finalités poursuivies par la société, c’est-à-dire la création d’un logiciel de reconnaissance faciale (qui associe l’image d’une personne à un profil contenant l’ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l’ordre.
67. Dès lors, au regard de l’ensemble de ces éléments, la formation restreinte considère que l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires. Le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu.
68. Enfin, la société n’a apporté aucune réponse aux demandes formulées sur ce point dans la mise en demeure n° MED 2021-134 du 26 novembre 2021. La formation restreinte estime donc que la société ne s’est pas mise en conformité à l’expiration du délai fixé, ni ultérieurement.
69. Par conséquent, la formation restreinte considère que la société ne dispose d’aucune base juridique pour le traitement en cause, en méconnaissance de l’article 6 du Règlement.
D. Sur le manquement à l’obligation de respecter le droit d’accès
70. L’article 15 du RGPD dispose que " la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ". Cet article prévoit également les différentes catégories d’informations que le responsable de traitement doit fournir à la personne concernée en cas de demande d’accès.
71. L’article 12 précise que : " le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22 "
72. Le rapporteur fait grief à la société de ne pas répondre de manière effective aux demandes d’accès qui lui sont adressées et de ne pas faciliter l’exercice du droit d’accès des personnes concernées.
73. La société n’a présenté aucune observation en défense.
74. La formation restreinte relève qu’il ressort de la saisine n° […] que la plaignante à l’origine de cette saisine a demandé à la société l’accès aux données la concernant et à l’ensemble des informations relatives à ces données au sens de l’article 15.1, par voie électronique. En effet, la plaignante a mandaté un tiers afin d’effectuer sa demande d’accès auprès de la société. Clearview AI en a accusé réception tout en invitant la plaignante à utiliser une plateforme en ligne pour exercer sa demande. Plus de deux mois après la demande initiale et à l’issue de trois autres courriers électroniques adressés par le tiers mandaté, la société a exigé la transmission d’une photographie et d’une pièce d’identité de la plaignante et a de nouveau invité la plaignante à utiliser une plateforme en ligne pour exercer sa demande. Quatre mois après la demande initiale, après de nouveaux échanges relatifs à la transmission d’une pièce d’identité et en l’absence de réponse satisfaisante, le tiers mandaté a adressé un courrier de mise en demeure à la société.
75. La formation restreinte relève que la réponse communiquée par la société à la demande est, tout d’abord, partielle. En effet, celle-ci ne contient que le résultat de la recherche dans l’outil commercialisé par la société, c’est-à-dire les images et les informations qui leur sont associés. Font ainsi défaut l’ensemble des informations prévues à l’article 15.1 du RGPD, la société s’étant contentée de fournir un lien vers sa politique de confidentialité.
76. Ensuite, la formation restreinte estime que, en n’acceptant de répondre à la demande d’accès de la plaignante qu’à l’issue de sept courriers et plus de quatre mois après sa demande initiale et en exigeant une copie de sa pièce d’identité alors que la plaignante avait déjà fourni des informations permettant de l’identifier ainsi qu’une photographie la représentant, Clearview AI n’a pas facilité l’exercice des droits de la plaignante.
77. Enfin, il ressort de la politique de confidentialité de la société que celle-ci limite l’exercice du droit d’accès aux données collectées les douze mois précédant la demande et restreint l’exercice de ce droit à deux fois par an. Or la politique de confidentialité de la société ne précise pas la durée de conservation des données et il ne ressort pas des éléments du dossier que la conservation des données en cause serait limitée à douze mois. Ainsi la limitation du droit d’accès ne repose sur aucun fondement.
78. En outre, la formation restreinte relève que la société n’a apporté aucune réponse aux injonctions formulées sur ce point dans la mise en demeure n° MED 2021-134 du 26 novembre 2021, permettant d’établir que la société s’y serait conformée dans le délai imparti de deux mois ou ultérieurement.
79. Par conséquent, la formation restreinte considère, d’une part, que la société a manqué à ses obligations en s’abstenant d’apporter une réponse satisfaisante à la plaignante et, d’autre part, que la société ne répond pas de manière effective aux demandes d’accès qui lui sont adressées et ne facilite pas l’exercice du droit d’accès des personnes concernées, en violation des articles 12 et 15 du Règlement.
E. Sur le manquement à l’obligation de respecter le droit d’effacement
80. L’article 17 du RGPD prévoit : " La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique : […] les données à caractère personnel ont fait l'objet d'un traitement illicite ".
81. Le rapporteur considère que la société a méconnu le droit d’effacement d’une personne concernée en s’abstenant d’apporter une réponse à sa demande d’effacement de ses données.
82. La société n’a présenté aucune observation en défense.
83. La formation restreinte relève qu’il ressort de la saisine n° […] que la plaignante à l’origine de cette saisine n’a reçu aucune réponse de la société concernant la demande d’effacement de ses données.
84. Or, la formation restreinte souligne que, dès lors que le traitement mis en œuvre ne peut reposer sur aucune base légale valide au regard de la réglementation européenne, l’effacement était de droit. La société aurait donc dû répondre favorablement à la demande d’effacement présentée par la plaignante.
85. En outre, la formation restreinte note que la société n’a apporté aucune réponse aux injonctions formulées sur ce point dans la mise en demeure n° MED 2021-134 du 26 novembre 2021, permettant d’établir que la société s’y serait conformée dans le délai imparti de deux mois.
86. Par conséquent, la formation restreinte retient que la société a méconnu le droit d’effacement de la plaignante en s’abstenant de lui apporter une réponse, en violation de l’article 17 du Règlement.
F. Sur le manquement à l’obligation de coopérer avec les services de la CNIL
87. L’article 31 du RGPD dispose que " le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions ".
88. Le rapporteur fait grief à la société de ne pas avoir répondu de manière satisfaisante aux demandes de la CNIL dans les délais impartis.
89. La société n’a présenté aucune observation en défense.
90. La formation restreinte relève que la société a été destinataire d’un questionnaire de contrôle de la part de la délégation de la Commission, auquel elle n’a répondu que de manière très partielle.
91. Ensuite, la société a été destinataire d’une mise en demeure datée du 26 novembre 2021. Cette mise en demeure comportait différentes demandes visant à la mise en conformité des traitements et au respect des droits des personnes.
92. La formation restreinte souligne que la société n’a répondu ni à cette mise en demeure, ni à la relance adressée par la présidente de la CNIL le 3 mars 2022, ni à la relance adressée par les services de la Commission le 4 avril 2022.
93. Dans ces conditions, la formation restreinte considère que ces éléments sont constitutifs d’une méconnaissance des dispositions de l’article 31 du Règlement dès lors que la société n’a apporté aucune réponse aux demandes de la CNIL.
III. Sur la sanction et la publicité
94. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée, " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 […] ".
A. Sur le prononcé d’une amende administrative et sur son montant
95. L’article 83 du RGPD dispose en outre que " chaque autorité de contrôle veille à ce que les amendes administratives imposées […] soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de cette amende.
96. La formation restreinte doit ainsi tenir compte dans la détermination du montant de l’amende de critères tels que le nombre de violations, leur nature et gravité, le degré de coopération avec l’autorité de contrôle, le nombre de personnes concernées et les catégories de données à caractère personnel concernées.
97. La formation restreinte relève que les manquements commis sont particulièrement graves, en particulier au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD, du nombre de personnes concernées et du caractère particulièrement intrusif du traitement en cause.
98. La formation restreinte souligne ainsi que le traitement concerne plus de vingt milliards d’images ainsi qu’un nombre considérable de personnes concernées, dans le monde entier. Ce sont donc plusieurs millions de personnes en France dont le visage apparaît sur une photographie ou une vidéo publiquement accessible sur Internet, et notamment sur un compte de réseau social, qui sont susceptibles d’être concernées par ce traitement. La base de données étant en outre actualisée très régulièrement pour intégrer les informations nouvellement disponibles, le nombre de ces images et de ces personnes est en constante évolution.
99. Ce traitement massif présente par ailleurs un caractère particulièrement intrusif en ce qu’il recueille sur une personne donnée un nombre potentiellement très important de données photographiques, auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de leur vie privée tels que leurs goûts et préférences (par exemple, en termes de loisirs), leurs opinions politiques ou leurs convictions religieuses, exprimés sur des réseaux sociaux, dans des articles de blogs ou encore des articles de presse.
100. À partir de ces données, est en outre constitué un gabarit biométrique, c’est-à-dire une donnée biométrique considérée comme sensible aux termes de l’article 9 du RGPD.
101. La formation restreinte rappelle, ensuite, l’extrême gravité du manquement à l’article 6 du RGPD. En effet, la société met en œuvre ce traitement en toute illicéité puisqu’elle ne dispose d’aucun fondement juridique à cette fin : ni intérêt légitime du responsable de traitement, ni consentement des intéressés.
102. En outre, la société a fait montre d’une volonté manifeste de ne pas coopérer avec les services de la CNIL. En effet, elle n’a apporté qu’une réponse très parcellaire au questionnaire de contrôle transmis par la délégation de la CNIL et n’a apporté aucune réponse à la mise en demeure de la présidente, malgré plusieurs relances.
103. En conséquence, la formation restreinte considère que l’ensemble de ces manquements justifie qu’une amende administrative soit prononcée.
104. S’agissant de la détermination du montant de l’amende, la formation restreinte relève d’abord que les manquements relatifs aux articles 6, 12,15 et 17 du RGPD sont des manquements à des principes fondamentaux susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 000 000 d’euros et jusqu’à 4% du chiffre d’affaires annuel, le montant le plus élevé étant retenu.
105. La formation restreinte relève que, malgré les demandes de la CNIL, la société n’a fourni aucune information relative à son chiffre d’affaires. Elle note qu’il ressort cependant de sources journalistiques que la société était valorisée à hauteur de 130 millions d’euros au début de l’année 2021.
106. En tout état de cause, la formation restreinte estime que l’ampleur du traitement en cause, la gravité des manquements et la nature biométrique des données à caractère personnel concernées exigent que l’amende administrative soit particulièrement importante afin d’être effective, dissuasive et proportionnée.
107. Au regard de l’ensemble de ces éléments, la formation restreinte estime que le prononcé d’une amende d’un montant de vingt millions d’euros est justifié.
B. Sur le prononcé d’une injonction assortie d’une astreinte
108. En premier lieu, la formation restreinte relève la société n’a apporté aucun élément qui tendrait à démontrer sa mise en conformité avec les articles 6, 12, 15 et 17 du RGPD à la suite de la mise en demeure de la présidente de la CNIL du 26 novembre 2021. La société continue donc de mettre en œuvre le traitement en cause en toute illicéité puisqu’elle ne dispose d’aucun fondement juridique à cette fin. De plus, elle n’a pas répondu de manière satisfaisante aux demandes qui lui ont été adressées par la plaignante.
109. Par conséquent, dès lors que les manquements relevés dans la présente décision persistent et au regard de leur degré de gravité, la formation restreinte estime nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec ses obligations.
110. En second lieu, la formation restreinte souligne qu’une astreinte journalière est une pénalité financière par jour de retard que devra payer le responsable de traitement en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu. Son prononcé peut donc parfois s’avérer nécessaire pour s’assurer de la mise en conformité du responsable de traitement sous un certain délai.
111. La formation restreinte ajoute qu’aux fins de conserver à l’astreinte sa fonction comminatoire, son montant se doit d’être à la fois proportionné à la gravité des manquements reprochés mais également adapté aux capacités financières du responsable de traitement. Elle relève, par ailleurs, que pour la détermination de ce montant il doit également être tenu compte du fait que le manquement concerné par l’injonction participe indirectement aux bénéfices générés par le responsable de traitement.
112. Au regard de ces deux éléments, la formation restreinte considère proportionné le prononcé d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de deux mois.
C. Sur la publicité de la décision
113. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées.
114. En particulier, la formation restreinte souligne que la publicité de la décision de sanction est nécessaire pour informer les personnes concernées de l’existence de ce dispositif méconnu par la grande majorité d’entre elles.
115. Enfin, elle estime que cette mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
- prononcer à l’encontre de la société CLEARVIEW AI une amende administrative d’un montant de 20 000 000 (vingt millions) euros ;
- prononcer à l’encontre de la société CLEARVIEW AI une injonction de ne pas procéder sans base légale à la collecte et au traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise, et supprimer l’ensemble des données à caractère personnel de ces personnes, notamment les données de la plaignante en cause ayant sollicité l’effacement (plainte n° […]), après avoir répondu aux demandes d’accès déjà formulées par les personnes le cas échéant ;
- assortir l’injonction d’une astreinte de cent mille euros (100 000 euros ) par jour de retard à l’issue d’un délai de deux mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.