Ayant reçu depuis 2020 des plaintes de particuliers concernant le logiciel de reconnaissance faciale d'un éditeur non européen, confortées par l'alerte transmise à la Cnil par l’association Privacy International, la Commission a lancé des investigations, en coopération avec ses homologues des autres États membres de l'Union européenne.
Les investigations de la Cnil
Elle a ainsi constaté deux manquements au RGPD de la part de cette société :
"1. un traitement illicite de données personnelles (manquement à l’article 6 du RGPD) car leur collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
2. l’absence de prise en compte satisfaisante et effective des droits des personnes, notamment des demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD)."
La Commission a donc décidé le 26 novembre de mettre cette société en demeure de cesser ses pratiques illicites, et à également décidé, le 6 décembre, de rendre publique nommément cette mise en demeure.
Les pratiques de reconnaissance faciale mise en cause
Selon les informations de la Cnil :
"La société (…) aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux. Elle collecte sur ces réseaux l’ensemble des photographies directement accessibles, c’est-à-dire pouvant être consultées sans connexion à un compte. Des images sont également extraites de vidéos disponibles en ligne quelles que soient les plateformes.
De cette manière, la société s’est appropriée plus de 10 milliards d’images à travers le monde.
Grâce à cette collecte, la société commercialise l’accès à sa base d’images sous la forme d’un moteur de recherche dans lequel une personne peut être recherchée à l’aide d’une photographie. La société offre notamment ce service à des forces de l’ordre, afin d’identifier des auteurs ou des victimes d’infraction.
La technologie de reconnaissance faciale est ainsi utilisée pour interroger le moteur de recherche et trouver une personne à partir de sa photographie."
En savoir plus
Consulter l'article complet sur le site de la Cnil du 16 décembre, rendant compte de sa double décision.
Consulter sur Légifrance :
La Décision n° MED-2021-134 du 26 novembre 2021 mettant en demeure la société ;
Et la Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2021-002 du 6 décembre 2021 décidant de rendre publique cette mise en demeure.
Voir toutes nos actualités sur les Données à caractère personnel et sur la Cnil.
