L’autorité néerlandaise de protection des données a infligé mardi une amende de 30,5 millions d’euros (45,6 millions de dollars canadiens) à la start-up de reconnaissance faciale Clearview AI pour avoir créé ce que l’agence a appelé une « base de données illégale » de milliards de photos de visages.
L’Agence néerlandaise de protection des données, ou DPA, a également averti les entreprises néerlandaises que l’utilisation des services de Clearview était également interdite.
L’agence de données a déclaré que Clearview, basée à New York, « n’a pas fait objection à cette décision et n’est donc pas en mesure de faire appel de l’amende ».
Mais dans une déclaration envoyée par courriel à l’Associated Press, le directeur juridique de Clearview, Jack Mulcaire, a déclaré que la décision était « illégale, dénuée de procédure régulière et inapplicable ».
L’agence néerlandaise a déclaré que la création de la base de données et l’information insuffisante des personnes dont les images apparaissent dans la base de données constituaient des violations graves du règlement général sur la protection des données de l’Union européenne, ou RGPD.
« La reconnaissance faciale est une technologie hautement intrusive, que vous ne pouvez pas simplement utiliser sur n’importe qui dans le monde », a déclaré le président de la DPA, Aleid Wolfsen, dans un communiqué.
« Si une photo de vous est publiée sur Internet – et cela ne s’applique-t-il pas à nous tous ? – alors vous pouvez vous retrouver dans la base de données de Clearview et être suivi à la trace. Ce n’est pas un scénario catastrophe tiré d’un film d’horreur. Ce n’est pas non plus quelque chose qui ne pourrait se produire qu’en Chine », a-t-il déclaré.
La DPA a déclaré que si Clearview ne met pas fin aux violations de la réglementation, elle s’expose à des pénalités de non-conformité pouvant aller jusqu’à 5,1 millions d’euros (5,6 millions de dollars canadiens) en plus de l’amende.
Clearview AI affirme que l’entreprise n’est pas soumise à la réglementation de l’UE
Mulcaire a déclaré dans sa déclaration que Clearview n’est pas soumis aux réglementations européennes en matière de protection des données.
« Clearview AI n’a pas de siège social aux Pays-Bas ou dans l’UE, n’a pas de clients aux Pays-Bas ou dans l’UE et n’entreprend aucune activité qui la soumettrait autrement au RGPD », a-t-il déclaré.
En juin, Clearview a conclu un accord à l’amiable dans le cadre d’un procès intenté dans l’Illinois, selon lequel sa vaste collection de photographies de visages violait le droit à la vie privée des personnes concernées. Les avocats estiment que cet accord pourrait valoir plus de 50 millions de dollars. Clearview n’a admis aucune responsabilité dans le cadre de l’accord de règlement.
L’affaire dans l’Illinois a consolidé des poursuites intentées dans tout le pays contre Clearview, qui a extrait des photos des réseaux sociaux et d’ailleurs sur Internet pour créer une base de données qu’elle a vendue à des entreprises, des particuliers et des entités gouvernementales.