Le 17 octobre 2023, l’amende de 7,5 millions de livres sterling infligée par l’Information Commisioner’s Office (ou ICO, autorité de régulation en matière de données à caractère personnel, au Royaume-Uni) à Clearview AI pour de multiples violations de la réglementation sur la protection des données a été annulée par un tribunal britannique.
Cette entreprise a déjà été sanctionnée le 17 octobre 2022 par la Commission Nationale de l’informatique et des Libertés (CNIL) pour les mêmes raisons ainsi que par les autorités de contrôle grecque, italienne, canadienne et australienne. Ainsi, la décision britannique, inédite à bien des égards, pourrait entraîner des conséquences importantes au-delà des frontières du Royaume-Uni.
Rappel des faits
Clearview AI est une société américaine de surveillance spécialisée dans la reconnaissance faciale. Cette entreprise a développé un moteur de recherche qui permet de créer un profil biométrique à partir d’une photographie d’un visage, puis de comparer ce profil à une base de données composée de milliards de photographies. Afin de constituer cette base de données, Clearview AI collecte massivement des images sur des milliards de pages Internet en usant de la technique du web scraping. Ce processus s’effectuant de manière indiscriminée, des millions de personnes aux quatre coins du monde, dont des citoyens européens et britanniques se sont retrouvées, sans le savoir, dans la base de données de Clearview AI.
De plus, l’outil développé par Clearview récupère également d’autres données présentes sur les pages Internet, notamment le nom de la personne, son sexe ou son activité professionnelle afin de les mettre à la disposition de ses clients.
Par ailleurs, il s’est avéré que l’entreprise américaine n’a pas donné de suite aux requêtes présentées par des individus souhaitant obtenir des détails sur le traitement réservé à leurs photographies ou bien même la suppression de ces mêmes photographies de la base de données de Clearview. Pour toutes ces raisons, des citoyens français ont déposé plusieurs plaintes auprès de la CNIL qui a sanctionné Clearview à une amende de 20 millions d’euros en raison de multiples violations du RGPD, notamment la collecte de données personnelles sans le consentement des personnes concernées ainsi qu’un traitement illicite et non-transparent de ces données. Le 23 mai 2022, l’ICO a également constaté des manquements au UK GDPR, la version britannique quasi-identique du RGPD qui a été intégrée à la législation nationale après le Brexit, et a prononcé une amende de 7,5 millions de livres sterling à l’encontre de Clearview AI. A la suite de cette décision, l’entreprise américaine a décidé d’interjeter appel auprès du First-tier Tribunal, une juridiction de première instance compétente en plusieurs matières, notamment en ce qui concerne les litiges liés à la collecte et au traitement de données. Et pouvant être saisie, en appel, de recours contre les décisions de l’ICO.
La décision du Fisrt-tier Tribunal
Dans sa décision du 17 octobre 2023, la General Regulatory Chamber du First-tier Tribunal a tranché en faveur de Clearview AI et a annulé l’amende prononcée par l’ICO.
Dans un premier temps, les juges ont reconnu que Clearview pouvait être considéré comme un « responsable de traitement » au sens de l’article 4(7) du RGPD, que cela soit dans le cadre de la collecte des photographies sur Internet ou dans le cadre des mises en relation effectuées par le moteur de recherche développé par l’entreprise.
Les activités de Clearview correspondent, selon les juges, à celles décrites par l’article 3(2)(b) du RGPD car l’entreprise fournit à ses clients un outil permettant d’effectuer un « suivi du comportement » grâce à sa base de données, même si ce suivi n’est pas directement l’œuvre de Clearview.
Toutefois, le First-tier Tribunal a considéré que les prestations de Clearview ne sont pas contraires au RGPD car ne rentrant pas dans le champ d’application matériel de ce dernier. Pour justifier leur décision, les juges se sont appuyés sur l’article 2(2)(a) qui dispose que le RGPD ne s’applique pas « au traitement de données à caractère personnel effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union » (« du droit britannique » pour le UK GDPR). En effet, depuis mai 2020, Clearview AI propose ses produits uniquement à des administrations de pays non-européens liées aux domaines de la sécurité et de la défense nationales. Le First-tier Tribunal a donc considéré que le UK GDPR ne permettait pas à l’ICO de se prononcer sur les outils utilisés par d’autres Etats dans leur gestion d’aspects relevant pleinement de leur souveraineté nationale.
Quelles seront les répercussions de cette décision ?
Si cette décision n’est pas contraignante pour les autres tribunaux britanniques ou internationaux, il n’en demeure pas moins que cette dernière pourrait avoir des retombées qu’il convient d’analyser.
- Interprétation du champ d’application du RGPD
Tout d’abord, la décision du First-tier Tribunal dans une affaire aussi ambiguë relève d’une certaine interprétation du RGPD, plus spécifiquement de son champ d’application.
Ce jugement peut être mis en relation avec une décision de la CNIL concernant une autre entreprise américaine collectant et traitant des données personnelles de citoyens de l’Union Européenne afin d’alimenter la base de données d’un outil de prospection professionnelle. La CNIL avait retenu que les activités de cette entité ne relevaient pas du RGPD au titre de l’article 3, notamment car il n’y avait pas de « suivi du comportement ».
Ces décisions pourraient être invoquées par des juges afin de déterminer si un traitement de données entre dans le champ d’application du RGPD avant de juger l’affaire sur le fond.
- Appel de l’ICO ?
Le 17 novembre 2023, l’ICO a annoncé son intention d’interjeter appel auprès du First-tier Tribunal. En effet, dans la mesure où l’appel de Clearview n’était pas contradictoire, l’autorité de régulation n’a pas pu exposer ses arguments devant les juges qui se sont uniquement appuyés sur sa décision du 23 mai 2022. Dans son communiqué de presse, l’ICO affirme que « le tribunal a mal interprété la loi » car « Clearview ne traitait pas de données à des fins d’application de la loi à l’étranger ».
- Réglementation des usages de l’intelligence artificielle
Si l’entreprise Clearview a principalement été poursuivie en raison de ses pratiques en matière de collecte et de traitement des données personnelles, son usage des technologies d’intelligence artificielle pose également question. En effet, alors que les institutions européennes entament la phase finale de négociations de l’AI Act, un règlement visant à établir un cadre légal pour l’intelligence artificielle, un des enjeux principaux réside dans l’établissement d’une liste d’usages de l’intelligence artificielle qui seraient proscrits. Au cours des dernières semaines, certains eurodéputés auraient obtenu l’interdiction des « systèmes d’IA qui créent ou développent des bases de données de reconnaissance faciale par la collecte non ciblée et de grande ampleur de visages sourcées sur internet ou provenant de séquences de caméras de sécurité », une disposition qui semble viser les activités de Clearview AI directement.
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !