Introduction

Les logiciels de reconnaissance faciale sont aujourd’hui techniquement au point. Ils sont proposés sous diverses formes dans la vie économique ou publique par différent prestataires de service. Dans ce contexte, les services de ressources humaines peuvent-ils utiliser de tels instruments, par exemple dans le cadre d’enquêtes internes ou préliminaires, de recrutement, d’enquêtes de sécurité ou de réputation ?

Pour y répondre, il est utile de présenter certains des éléments de la mise en demeure effectuée par la CNIL le 26.11.2021 dans l’affaire CLEARVIEW, avant d’en apprécier les conclusions sous l’angle du droit suisse.

(Cf. CNIL, Décision n° MED-2021-134 du 26 novembre 2021 mettant en demeure la société CLEARVIEW AI (https://www.cnil.fr/fr/reconnaissance-faciale-la-cnil-met-en-demeure-clearview-ai-de-cesser-la-reutilisation-de); et

Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2021-002 du 6 décembre 2021 décidant de rendre publique la mise en demeure n° MED-2021-134 du 26 novembre 2021 prise à l’encontre de la société CLEARVIEW AI (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044499335?init=true&page=1&query=CLEARVIEW&searchField=ALL&tab_selection=all)

Description / fonctionnement du logiciel

La société CLEARVIEW AI (ci-après  » la société  » ou  » Clearview « ), établie aux États-Unis, a développé un logiciel de reconnaissance faciale, dont la base de données repose sur l’aspiration de photographies publiquement accessibles sur Internet, qui permet d’identifier une personne à partir d’une photographie la représentant.

La société utilise une technologie propre pour indexer les pages web librement accessibles. Elle collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web. Des photographies sont ainsi extraites notamment de réseaux sociaux (par exemple, Twitter ou Facebook), de sites professionnels contenant des photographies de leurs salariés, de blogs et de tous sites sur lesquels des photographies de personnes sont publiquement accessibles. Des images sont également extraites de vidéos disponibles en ligne, par exemple sur le site http://www.youtube.com. Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites  » pour adultes  » ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte.

La collecte de ces images sur des réseaux sociaux porte sur l’ensemble des images accessibles au moment de la collecte à une personne non connectée au réseau en cause. En dehors des réseaux sociaux, la collecte concerne l’ensemble des images accessibles au moment de la collecte à un moteur de recherche. La société a ainsi collecté plus de dix milliards d’images.

À partir de chaque photographie collectée, la société calcule un gabarit biométrique. Une empreinte numérique unique, propre au visage tel qu’il apparaît sur la photographie (basée sur les points du visage) est ainsi générée. Les milliards d’images sont ensuite enregistrées dans une base de données sous une forme permettant de les rechercher (à l’aide de l’empreinte numérique).

La société commercialise l’accès à une plateforme en ligne sur laquelle se trouve un moteur de recherche. Cet outil fonctionne en y téléchargeant une photographie d’un visage. À partir de cette photographie, l’outil calcule l’empreinte numérique correspondante à celle-ci et effectue, dans la base de données, une recherche des photographies auxquelles sont liées des empreintes similaires. Le logiciel produit un résultat de recherche, composé de photographies, auxquelles est associé l’URL de la page web à partir de laquelle elles ont été extraites (réseau social, article de presse, blog …). Ce résultat de recherche compile ainsi l’ensemble des images collectées par la société au sujet d’une personne ainsi que le contexte dans lequel ces images sont en ligne, tel que, par exemple, le compte de réseau social ou un article de presse.

La société décrit le service qu’elle offre comme  » un outil de recherche utilisé par les forces de l’ordre ( » law inforcement « ) pour identifier des auteurs et des victimes d’infractions  » à partir d’une photographie. Il est indiqué sur son site web que cet outil permet par exemple à des  » analystes  » d’effectuer une recherche en téléchargeant des images de scènes de crime afin de les comparer à celles qui sont publiquement accessibles. Les forces de l’ordre peuvent ainsi utiliser cet outil afin d’identifier une personne dont elles disposent d’une image (par exemple, issue d’un enregistrement de vidéosurveillance) mais ne connaissent pas l’identité.

Applicabilité du RGPD / compétence de la CNIL

La CNIL considère d’abord que traitement ainsi mis en œuvre par la société est lié au suivi du comportement des personnes concernées au sens des dispositions de l’article 3.2.b) du RGPD et ressortit donc du champ d’application territorial du RGPD.

Il ressort par ailleurs d’une lecture combinée des articles 55 et 56 du RGPD que, dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en œuvre un traitement transfrontalier soumis au RGPD mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme du guichet unique prévu à l’article 56 du RGPD (principe du « guichet unique ») n’a pas vocation à s’appliquer. Chaque autorité de contrôle nationale est donc compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève, comme la CNIL en l’espèce pour la France.

Art. 6 RGPD (absence de base juridique)

L’article 6 du Règlement général sur la protection des données dispose que :  » Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. « 

Pour être licite, un traitement de données à caractère personnel doit donc reposer sur l’une des bases juridiques visées ci-dessus.

En l’espèce, le logiciel de reconnaissance faciale mis en œuvre par la société repose sur la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d’images contenant des visages, à l’aide d’une technologie exclusive pour indexer les pages web librement accessibles.

La société procède ensuite à un traitement des données collectées afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d’une autre image.

Ce traitement est réalisé par la société à des fins exclusivement commerciales.

La société a été interrogée par la CNIL sur le fondement juridique de ce traitement, au sens de l’article 6 du RGPD. La société n’a apporté aucune réponse sur ce point. La politique de confidentialité de la société n’évoque pas davantage le fondement juridique dudit traitement.

Il peut être relevé d’emblée que la société n’a pas recueilli le consentement des personnes concernées au traitement de leurs données à caractère personnel.

En outre, compte tenu de la nature des traitements en cause, les fondements juridiques prévus par les dispositions de l’article 6.1 sous b), c), d) et e), du RGPD et liés à l’exécution d’un contrat, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et à l’exécution d’une mission d’intérêt public ne trouvent pas à s’appliquer en l’espèce.

En ce qui concerne le fondement juridique lié aux intérêts légitimes poursuivis par le responsable de traitement, prévu par l’article 6. 1. f) du Règlement, il y a lieu de rappeler à titre liminaire que le caractère  » publiquement accessible  » d’une donnée n’influe pas sur la qualification de donnée à caractère personnel et qu’il n’existe aucune autorisation générale permettant de réutiliser et de traiter de nouveau des données à caractère personnel publiquement disponibles, en particulier à l’insu des personnes concernées.

À titre illustratif, le groupe de travail de l’article 29 (dit  » G29  » devenu le Comité européen de la protection des données (CEPD)), dans son Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, a noté à cet égard que  » les données à caractère personnel, même si elles ont été rendues publiques, restent considérées comme des données à caractère personnel  » et que  » leur traitement continue donc à requérir des garanties appropriées « . Tout en reconnaissant le fait que les données à caractère personnel soient accessibles au public peut être un facteur pertinent pour conclure à l’existence d’intérêts légitimes, le CEPD a ensuite averti que ce ne serait le cas que  » si leur publication s’accompagnait d’une attente raisonnable d’utilisation ultérieure des données à certaines fins par exemple, pour des travaux de recherche ou dans un souci de transparence et de responsabilité. « 

En outre, pour que le responsable de traitement puisse se prévaloir de cette base juridique, le traitement doit être nécessaire aux fins des intérêts légitimes qu’il poursuit, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux des personnes concernées.

En l’espèce, même si l’intérêt de la société était fondé sur l’intérêt économique qu’elle tire de l’exploitation de la base de données en cause, cet intérêt devrait toutefois être mis en balance avec les intérêts ou les libertés et droits fondamentaux des personnes concernées, compte tenu des attentes raisonnables des personnes fondées sur leur relation avec le responsable du traitement, conformément à l’article 6.1.f) du RGPD, lu à la lumière du considérant 47 et de l’avis du CEPD sur la notion d’intérêt légitime précité.

En l’espèce, le traitement présente une intrusivité particulièrement forte : il recueille sur une personne donnée un grand nombre de données photographiques, auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de la vie privée. À partir de ces données, est constitué un gabarit biométrique, c’est-à-dire une donnée biométrique permettant, si elle est fiable, d’identifier la personne de façon unique à partir d’une photographie de la personne : la détention d’une telle donnée par un tiers constitue une atteinte forte à la vie privée. Enfin, il convient de relever que ce traitement concerne un nombre extrêmement élevé de personnes.

Par ailleurs, il convient notamment de déterminer si les personnes concernées pouvaient raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un tel traitement par la société Clearview. À cet égard, il n’existe aucune relation entre la société et les personnes concernées. Si elles peuvent raisonnablement s’attendre à ce que des tiers accèdent ponctuellement aux photographies en cause, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale. Enfin, le logiciel exploité par la société n’est pas public et la grande majorité des personnes concernées ignorent son existence.

Il doit donc être considéré que les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d’un autre responsable de traitement, ne s’attendent pas à ce que celles-ci soient réutilisées pour les finalités poursuivies par la société, c’est-à-dire la création d’un logiciel de reconnaissance faciale (qui associe l’image d’une personne à un profil contenant l’ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l’ordre.

Dès lors, au regard de l’ensemble de ces éléments, l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires, et le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu.

Par conséquent, la société ne dispose d’aucune base juridique pour le traitement en cause, en méconnaissance de l’article 6 du Règlement.

Art. 15 RGPD (droit d’accès)

L’article 15 du RGPD dispose que  » la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel « . Cet article prévoit également les différentes catégories d’informations que le responsable de traitement doit fournir à la personne concernée en cas de demande d’accès. L’article 12 précise que :  » le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22 « 

En l’espèce, la plaignante a demandé à la société l’accès aux données la concernant et à l’ensemble des informations relatives à ces données au sens de l’article 15.1, par voie électronique.

En effet, la plaignante a mandaté un tiers afin d’effectuer sa demande d’accès auprès de la société. Clearview en a accusé réception tout en invitant la plaignante à utiliser une plateforme en ligne pour exercer sa demande. Plus de deux mois après la demande initiale et à l’issue de trois autres courriers électroniques adressés par le tiers mandaté, la société a exigé la transmission d’une photographie et d’une pièce d’identité de la plaignante et a de nouveau invité la plaignante à utiliser une plateforme en ligne pour exercer sa demande. Quatre mois après la demande initiale, après de nouveaux échanges relatifs à la transmission d’une pièce d’identité et en l’absence de réponse satisfaisante, le tiers mandaté a adressé un courrier de mise en demeure à la société.

La société a communiqué une réponse à la demande d’accès qui, tout d’abord, est partielle. En effet, celle-ci ne contient que le résultat de la recherche dans l’outil commercialisé par la société, c’est-à-dire les images et les informations qui leur sont associés. Font ainsi défaut l’ensemble des informations prévues à l’article 15.1 du RGPD, la société s’étant contentée de fournir un lien vers sa politique de confidentialité.

Ensuite, en n’acceptant de répondre à la demande d’accès de la plaignante qu’à l’issue de sept courriers et plus de quatre mois après sa demande initiale et en exigeant une copie de sa pièce d’identité alors que la plaignante avait déjà fourni des informations permettant de l’identifier ainsi qu’une photographie la représentant, Clearview n’a pas facilité l’exercice des droits de la plaignante.

Enfin, il ressort de la politique de confidentialité de la société que celle-ci limite l’exercice du droit d’accès aux données collectées les douze mois précédant la demande et restreint l’exercice de ce droit à deux fois par an. Or, la politique de confidentialité de la société ne précise pas la durée de conservation des données et il ne ressort pas des éléments du dossier que la conservation des données en cause serait limitée à douze mois.

Il ressort de ces éléments que la société ne répond pas de manière effective aux demandes d’accès qui lui sont adressées en vertu de l’article 15 du RGPD et ne facilite pas l’exercice du droit d’accès des personnes concernées.

Ces faits constituent un manquement aux articles 12 et 15 du Règlement.

Art. 17 RGPD (droit d’effacement)

L’article 17 du RGPD prévoit :  » La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique : […] les données à caractère personnel ont fait l’objet d’un traitement illicite « .

En l’espèce, la plaignante n’a reçu aucune réponse de la société concernant l’effacement de ses données qu’elle avait requis de la société.

Or, dès lors que la Commission considère que le traitement mis en œuvre ne peut reposer sur aucune base légale valide au regard de la réglementation européenne, l’effacement était de droit.

Ce fait constitue un manquement à l’article 17 du Règlement.

Appréciation

Comme le relève Alexis Barbey dans sa présentation de la mise en demeure de la CNIL (Quelques photos sur internet suffisent à créer un gabarit biométrique – Mise en demeure de Clearview AI, 11 mars 2022 in www.swissprivacy.law/130), le traitement de données par Clearview poserait de nombreux problèmes sous l’angle de la nLPD (information, consentement, droit d’accès et effacement – art.  6, 19, 25, 30-31, 32 al. 2 let. c nLPD). Son utilisation soulèverait bien évidemment aussi des problèmes en procédure pénale (exploitation des preuves illégales notamment – art. 141 al. 2 CPP).

Si nous complétons l’analyse de Barbey, l’utilisation d’un tel outil par les ressources humaines soulèverait également la question de l’admissibilité de tels moyens de preuve en procédure civile (art. 152 al. 2 CPC) et celle du caractère abusif d’un licenciement qui reposerait sur des motifs et moyens de preuve obtenus de manière illicite en violation grave des droits de la personnalité du travailleur.

Addendum (15.03.2022)

La même société a été lourdement sanctionnée par l’autorité italienne en matière de protection des données en février 2022 (cf. https://www.dataguidance.com/news/italy-garante-fines-clearview-ai-20m-and-bans-use avec des liens vers la décision en italien et un résumé en anglais). Par ailleurs, ses services semblent également mis à contribution par un des protagonistes dans le cadre du conflit actuel (repéré dans une publication linkedin de Marc Ruef – https://www.reuters.com/technology/exclusive-ukraine-has-started-using-clearview-ais-facial-recognition-during-war-2022-03-13/)

Addendum no2 2 (06.04.2022)

Clearview entend maintenant proposer ses produits en dehors du secteur police / maintien de l’ordre, par exemple aux banques (https://apnews.com/article/russia-ukraine-technology-business-europe-national-governments-4a4db5b7340792f8a8b08c41c4653f5a). L’offre se concentrerait sur le logiciel de reconnaissance faciale, sans accès à la base de données récoltées sur les réseaux sociaux. Elle serait basée sur le consentement: « The new “consent-based” product would use Clearview’s algorithms to verify a person’s face, but would not involve its ever-growing trove of some 20 billion images, which Ton-That said is reserved for law enforcement use. Such ID checks that can be used to validate bank transactions or for other commercial purposes are the “least controversial use case” of facial recognition, he said. »

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)