L’Autorité néerlandaise de protection des données (DPA) a infligé une amende de 30,5 millions d’euros (33,7 millions de dollars) à la société de reconnaissance faciale Clearview AI pour avoir violé le règlement général sur la protection des données (RGPD) dans l’Union européenne (UE) en créant une « base de données illégale contenant des milliards de photos de visages », y compris celles de citoyens néerlandais.
« La reconnaissance faciale est une technologie hautement intrusive que vous ne pouvez pas simplement utiliser sur n’importe qui dans le monde », a déclaré Aleid Wolfsen, présidente de la DPA néerlandaise. dit dans un communiqué de presse.
« Si une photo de vous est publiée sur Internet – et cela ne s’applique-t-il pas à nous tous ? – vous pouvez alors vous retrouver dans la base de données de Clearview et être suivi à la trace. Il ne s’agit pas d’un scénario catastrophe tiré d’un film d’horreur. Ce n’est pas non plus quelque chose qui ne pourrait se produire qu’en Chine. »
Clearview AI a été confronté à des problèmes réglementaires dans plusieurs pays, tels que le Royaume-Uni, l’Australie, la France et l’Italie, en raison de sa pratique consistant à extraire des informations accessibles au public sur Internet pour créer une vaste base de données comprenant plus de 50 milliards de photos des visages des gens.
Les individus identifiés à partir de ces images se voient attribuer un code biométrique unique, qui est ensuite intégré dans les services de renseignement et d’enquête proposés à ses clients des forces de l’ordre pour « identifier rapidement les suspects, les personnes d’intérêt et les victimes afin d’aider à résoudre et à prévenir les crimes ».
L’APD néerlandaise, en plus d’accuser Clearview de collecter les données faciales des utilisateurs sans leur consentement ou leur connaissance, a déclaré que la société informe « insuffisamment » les personnes figurant dans sa base de données sur la manière dont leurs données sont utilisées et qu’elle n’offre pas de mécanisme pour accéder à leurs données sur demande.
Actuellement, Clearview uniquement offres les résidents de six États américains (Californie, Colorado, Connecticut, Oregon, Utah et Virginie) ont la possibilité d’accéder, de supprimer et de refuser le profilage.
La Cour a également reproché à la société new-yorkaise de ne pas avoir mis fin aux violations après l’enquête, lui ordonnant de les cesser immédiatement sous peine d’amende supplémentaire de 5,1 millions d’euros (5,6 millions de dollars). En outre, la décision interdit aux entreprises néerlandaises d’utiliser les services de Clearview.
« Nous allons maintenant enquêter pour savoir si nous pouvons tenir la direction de l’entreprise personnellement responsable et lui infliger une amende pour avoir ordonné ces violations », a déclaré Wolfsen.
« Cette responsabilité existe déjà si les administrateurs savent que le RGPD est violé, ont le pouvoir d’y mettre un terme, mais omettent de le faire et acceptent ainsi consciemment ces violations. »
Dans une déclaration partagée avec l’Associated Press, Clearview dit elle ne relève pas des réglementations européennes en matière de protection des données car elle n’a pas de siège social aux Pays-Bas ou dans l’UE. Elle a également qualifié la décision d' »illégale ».
En juin dernier, l’entreprise a encore réglé une plainte déposée dans l’État américain de l’Illinois pour violation de la vie privée liée à la reconnaissance faciale en accordant aux plaignants une participation de 23 % dans sa valeur future, par opposition à un paiement traditionnel. Elle n’a cependant admis aucun acte répréhensible.