Ce 17 octobre 2022, une société américaine ayant développé un logiciel de reconnaissance faciale a été sanctionnée du montant maximum possible pour non-respect du règlement général sur la protection des données (RGPD) par la formation restreinte de la Commission Nationale de l’informatique et des Libertés (CNIL).
Au vu du caractère répété et délibéré de ces manquements, la CNIL a enjoint à la société sanctionnée de cesser immédiatement la collecte et l’usage des données à caractère personnel des individus se trouvant sur le territoire français.
Un logiciel de reconnaissance faciale jugé intrusif
A travers l’utilisation d’une technologie de reconnaissance faciale, ainsi que la création d’un gabarit biométrique permettant d’identifier de façon unique les caractéristiques physiques propres à un individu, le logiciel incriminé propose un moteur de recherche à ses utilisateurs, permettant de restituer diverses photographies et captures d’écran de visages d’individus.
Les photographies restituées sont publiquement accessibles et proviennent de sites web, de réseaux sociaux et de plateformes de diffusions vidéo. Elles sont collectées par la société mise en cause, puis appropriées, pour commercialiser l’accès à une base de plus de 20 milliards d’images, notamment à l’intention des services de renseignement américains.
Il s’agit bien ici de données biométriques selon la CNIL, qui précise que :
« les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales, constituent des données biométriques ».
Pour rappel, le caractère publiquement accessible d’une information n’influe en aucun cas sur sa qualification juridique de « donnée à caractère personnel ».
Ce traitement constitue par ailleurs un profilage au sens de l’article 4 du RGPD, puisqu’il permet, à partir d’une simple photographie, de connaître les préférences, les intérêts, les comportements ou encore la localisation de la personne concernée.
L’absence de consentement préalable des individus concernés, ainsi que le caractère massif et intrusif du procédé de collecte permettant de commercialiser les images d’internautes non avertis constituent des traitements illicites de données personnelles, au sens du RGPD selon l’autorité de contrôle.
Plusieurs manquements constatés
Plusieurs manquements au RGPD ont ainsi pu être constatés par l’autorité de contrôle.
- Un traitement illicite de données à caractère personnel
La collecte et l’utilisation des données biométriques des internautes n’ont pas de base légale au sens de l’article 6 du RGPD.
Les individus dont les données personnelles figurent au sein de la base de données n’ont pas été avertis, et n’ont par conséquent pas pu consentir au traitement de leurs photographies, à des fins qui, de plus, ne sont pas délimitées par la société sanctionnée.
Par ailleurs, compte tenu du traitement en cause, aucune autre base légale ne pouvait être invoquée pour justifier du traitement.
- Un non-respect des droits des personnes concernées
Au vu de diverses plaintes reçues par la CNIL, lesquelles sont à l’origine des investigations de l’autorité, le droit d’accès des personnes concernées n’était pas pris en compte par la société sanctionnée.
En effet, cette dernière restreignait le périmètre des données auxquelles les personnes concernées pouvaient accéder en exerçant leur droit à celles collectées pendant les 12 mois précédant la demande. De plus, cette même société limitait l’exercice du droit d’accès à 2 fois par an sans justification. L’autorité de contrôle a enfin constaté une absence répétée de réponses aux demandes formulées par les personnes concernées.
De surcroit, la société ne semblait pas avoir élaboré une procédure d’effacement des données pour donner suite aux demandes de suppression lui ayant été adressées par les personnes concernées.
Comment la sanction est-elle motivée ?
La sanction pécuniaire maximale ainsi que l’obligation de cesser la collecte des données à caractère personnel prononcées par la formation restreinte de la CNIL est l’aboutissement d’une longue procédure d’enquête, initiée à partir des plaintes de particuliers et d’alertes d’associations quant aux pratiques de la société américaine.
Pour donner suite aux constatations des manquements au RGPD révélés par ses investigations initiales, la CNIL avait décidé de mettre la société en demeure de cesser la collecte et l’usage de données d’individus se trouvant sur le territoire français, ainsi que de faciliter l’exercice des droits des personnes concernées en termes d’accès et de demandes d’effacement.
L’absence de justification, ni de quelconque réponse de la part de la société dans le délai imparti de deux mois suite à la mise en demeure a conduit la Présidente de la CNIL à saisir la formation restreinte par la désignation d’un rapporteur.
Il convient de souligner que la société, qui avait été convoquée, n’était pas représentée lors de l’audience de la formation restreinte de la CNIL.
A la suite des débats, ladite formation restreinte a décidé, de prononcer une sanction pécuniaire de 20 millions d’euros et d’enjoindre à la société de cesser toute collecte et traitement de données de personnes situées en France. La société doit aussi supprimer toutes données déjà collectées visant ces mêmes individus. Cette injonction est assortie d’une astreinte de 100 000 euros par jour de retard.
Outre le traitement illicite et l’absence de respect au droit d’accès des personnes, la formation restreinte a relevé un manquement à l’obligation de coopération avec les services de la CNIL au sens de l’article 31 du RGPD, manquement n’ayant fait que durcir la position de la CNIL dans ce dossier.
La société spécialisée dans la reconnaissance faciale sanctionnée dans d’autres Etats européens ?
Des plaintes analogues ont été déposées auprès des homologues européens de la CNIL, et des sanctions similaires prononcées, notamment par les autorités de protection des données allemande, grecque et italienne.