Clearview AI : Des amendes record de GDPR et une responsabilité personnelle des dirigeants en jeu

Ads

Clearview AI reçoit ses plus grosses amendes GDPR alors que le régulateur néerlandais envisage de rendre les dirigeants personnellement responsables.

Clearview AI, la célèbre entreprise américaine de reconnaissance faciale qui a raclé Internet pour des selfies sans autorisation afin de créer une base de données consultable de 30 milliards de photos, a reçu ses plus grosses amendes européennes en matière de confidentialité.

Après avoir confirmé que la base de données contient des images de citoyens néerlandais, l’Autoriteit Persoonsgegevens (AP), l’autorité néerlandaise de protection des données, a infligé à Clearview AI une amende de 30,5 millions d’euros, soit 33,7 millions de dollars aux taux de change actuels, pour plusieurs violations du GDPR mardi.

Cette peine dépasse les sanctions GDPR de 2022 de la France, de l’Italie, de la Grèce et du Royaume-Uni.

L’AP a averti dans un communiqué que Clearview n’avait pas mis fin aux violations du GDPR après l’enquête, raison pour laquelle une amende supplémentaire de 5,1 millions d’euros a été infligée pour non-conformité continue. Clearview AI pourrait être condamné à une amende de 35,6 millions d’euros pour avoir ignoré le régulateur néerlandais.

Le régulateur néerlandais de la protection des données a commencé à enquêter sur Clearview AI en mars 2023 après que trois personnes se sont plaintes des violations d’accès aux données de l’entreprise. Les citoyens de l’UE ont le droit d’obtenir une copie ou d’effacer leurs données personnelles en vertu du GDPR. Clearview AI a ignoré les demandes.

Clearview AI est également sanctionné par l’AP pour avoir illégalement rassemblé des données biométriques afin de construire une base de données. Il est également condamné pour des problèmes de transparence du GDPR.

AP : “Clearview n’aurait jamais dû construire la base de données avec des photos, des codes biométriques uniques et d’autres informations qui y sont liés. C’est particulièrement vrai pour les codes biométriques uniques dérivés du visage. Il s’agit de biométriques comme les empreintes digitales. Collecter et les utiliser est illégal. Clearview ne peut pas se prévaloir des exceptions législatives à cette restriction.

L’entreprise a également omis de prévenir les personnes dont elle a collecté les données personnelles et les a placées dans sa base de données, a indiqué la décision.

Lisa Linden de Resilere Partners, la société de relations publiques de Clearview, n’a pas répondu aux demandes mais a transmis à TechCrunch une déclaration affirmée être du directeur juridique de Clearview, Jack Mulcaire.

“Clearview AI n’a pas d’établissement aux Pays-Bas ni dans l’UE, n’a pas de clients aux Pays-Bas ni dans l’UE et n’entreprend aucune activité qui l’obligerait par ailleurs à être soumise au GDPR”, a écrit Mulcaire. “Cette décision est illégale, dépourvue de procédure régulière et de non-exécution.”

Le régulateur néerlandais indique que l’entreprise ne peut pas faire appel de l’amende car elle ne s’y est pas opposée.

Le GDPR s’applique au traitement des données personnelles des citoyens de l’UE dans le monde entier.

Clearview, une entreprise américaine, vend des services de correspondance d’identité à des organismes gouvernementaux, des forces de l’ordre et d’autres services de sécurité en utilisant des données collectées. Ses clients sont moins susceptibles d’être de l’UE, où l’utilisation de logiciels enfreignant les lois sur la vie privée risque la répression réglementaire, comme l’a été un organisme policier suédois en 2021.

L’AP a déclaré que les entreprises néerlandaises utilisant Clearview AI seraient lourdement sanctionnées. Clearview enfreint la loi, rendant ses services illégaux. Les organisations néerlandaises qui utilisent Clearview pourraient faire l’objet de lourdes sanctions de la part de l’AP, a écrit le président Aleid Wolfsen.

Cette page fournit la décision de l’AP en anglais.

Une responsabilité personnelle ?
Clearview AI a subi une série d’amendes GDPR au cours des dernières années (environ 100 millions d’euros d’amendes pour la confidentialité de l’UE), mais les autorités régionales de protection des données n’ont pas été efficaces pour les recouvrer. L’entreprise américaine refuse de coopérer et n’a pas de représentation légale dans l’UE.

Il convient de noter que Clearview AI continue de violer le GDPR et les règles européennes en matière de confidentialité en toute impunité opérationnelle apparente en raison de son emplacement à l’étranger.

Cela inquiète l’AP néerlandaise, qui étudie les mesures à prendre pour empêcher Clearview de violer la loi. L’agence examine si les directeurs d’entreprise sont personnellement responsables des infractions.

Une entreprise ne peut pas continuer à violer les droits des Européens sans conséquences. Nous allons maintenant explorer la possibilité de tenir les dirigeants d’entreprise directement responsables et de les sanctionner pour avoir ordonné de telles infractions, a écrit Wolfsen. Les directeurs sont responsables s’ils savent que le GDPR est enfreint, ont le droit de l’arrêter, mais ne le font pas, acceptant délibérément l’infraction.

Après l’arrestation de Pavel Durov, le fondateur de l’application de messagerie Telegram, sur le sol français pour diffusion de contenus illégaux, il est intéressant de se demander si sanctionner les dirigeants de Clearview pourrait inciter à la conformité – ils pourraient vouloir voyager librement vers et autour de l’UE.

Clearview AI : Des amendes record de GDPR et une responsabilité personnelle des dirigeants en jeu