Si vous avez déjà publié une photo de vous-même – ou de votre enfant, par exemple – publiquement sur Facebook ou Instagram, il y a de fortes chances que Clearview ait enregistré ce visage. Clearview est une société américaine qui gère une énorme base de données de photos faciales. Il a maintenant extrait plus de 30 milliards de photos d’Internet.
Lorsque Lotte Houwing a demandé à Clearview il y a deux ans quelles photos l’entreprise avait d’elle, elle a obtenu trois images en retour. Clearview avait trouvé son visage sur deux sites néerlandais et sur la page LinkedIn de quelqu’un d’autre.
« Les gens disent toujours : il faut faire attention à ce que l’on met en ligne de soi. Ce n’est donc pas la solution. C’est cette photo sur la page LinkedIn d’une connaissance qui m’a le plus bluffé. Je n’avais pas cette photo moi-même téléchargé, mais Clearview a réussi à me trouver là-bas. J’ai perdu le contrôle de mon visage. »
Reconnaissance faciale pour la police
L’énorme base de données de visages de Clearview est disponible pour les forces de l’ordre. Ils utilisent la reconnaissance faciale pour identifier les personnes. Cela ne se passe pas toujours bien : aux États-Unis, il y a plusieurs cas où la police a arrêté la mauvaise personne après avoir utilisé la reconnaissance faciale – tous des hommes au teint foncé. Certainement une fois s’est passé dans un poste de police qui a un contrat avec Clearview.
La police néerlandaise utilise la reconnaissance faciale, mais n’utilise pas Clearview et n’en a pas l’intention.
Lotte est chercheuse chez Bits of Freedom, une organisation qui défend les droits numériques. Elle connaît donc bien la technologie et savait à quoi s’attendre lorsque Clearview a répondu à son e-mail.
« Pourtant, j’ai bien aimé effrayant. Différents morceaux de ma vie ont été assemblés. La somme de toutes ces photos fait peur : avec ces informations, vous pouvez obtenir une bonne image de quelqu’un. »
Le superviseur enquête sur Clearview
Parce que Clearview stocke les visages des Néerlandais, l’Autorité néerlandaise de protection des données (AP) enquête officiellement sur l’entreprise.
« Il semble que Clearview traite trop de visages illégaux », a déclaré Aleid Wolfsen, président du régulateur de la vie privée, à RTL Nieuws. « C’est pourquoi l’entreprise retient notre attention. C’est un problème sérieux. »
L’AP ne veut pas expliquer exactement sur quelles violations possibles l’enquête se concentre. Un porte-parole dit qu’il faudra des mois plutôt que des semaines avant que le régulateur ne fournisse plus d’informations.
Dans une réponse, le directeur de Clearview, Hoan Ton-That, déclare que l’entreprise n’est pas couverte par la loi européenne sur la protection de la vie privée GDPR. « Clearview n’a pas de succursale aux Pays-Bas ou dans l’UE, n’a pas de clients aux Pays-Bas ou dans l’UE et n’entreprend aucune activité qui relèverait autrement du RGPD », a-t-il déclaré dans un communiqué à RTL News.
Le fait que Clearview n’ait pas de bureau néerlandais ni de clients néerlandais ne signifie pas nécessairement que l’entreprise américaine n’est pas soumise au RGPD. Si l’entreprise traite les visages de Néerlandais, la loi sur la protection de la vie privée peut tout aussi bien s’appliquer.
Si la loi sur la confidentialité ne s’appliquait pas, l’AP ne serait pas en mesure de mener une enquête formelle. « Nos collègues européens se sont déjà penchés sur Clearview », déclare Wolfsen, indiquant que d’autres régulateurs ont déjà établi que Clearview relève effectivement du RGPD.
Enquêtes antérieures sur Clearview
Jusqu’à présent, on sait que quatre régulateurs européens de la confidentialité ont réprimandé Clearview. Dès 2022, les autorités de surveillance de l’Italie, de la Grèce et de la France ont décidé que Clearview devait supprimer et non re-collecter les photos des citoyens de ces pays. L’entreprise a également été condamnée à une amende de 20 millions d’euros dans chaque pays.
Parce que Clearview n’a pas été en mesure de prouver par la suite qu’elle avait supprimé des photos faciales de Français, le régulateur français a imposé une amende supplémentaire de 5,2 millions d’euros en avril.
Le mois dernier, le régulateur autrichien de la confidentialité a décidé que l’entreprise devait effacer les données d’une personne apparaissant dans la base de données. Cette personne avait porté plainte pour cette raison. L’organisme de surveillance autrichien n’a imposé ni interdiction générale ni amende.
Houwing de Bits of Freedom a demandé à Clearview il y a deux ans quelles photos l’entreprise avait d’elle. Elle était là assez tôt : maintenant Clearview ne semble plus répondre aux Néerlandais qui veulent aussi savoir si leur visage est dans une base de données.
Quiconque l’essaie maintenant sera probablement déçu. Par exemple, six personnes ont envoyé un e-mail à Clearview à la fin de l’année dernière et ont informé le cabinet d’avocats Hausfeld à Amsterdam. Comme Houwing, ils voulaient savoir si leurs visages avaient également été collectés par Clearview. Il n’y a pas eu de réaction.
« En janvier et février, des rappels ont été envoyés après cela », explique l’avocate Meral Gülcür van Hausfeld. « À ce jour, il reste silencieux. Je soupçonne que c’est une stratégie de ne pas répondre à ces demandes. Parce que vous reconnaissez que vous traitez peut-être des données de Néerlandais et que vous devez donc vous conformer au RGPD. »
« Aspirateur illégal »
Selon Houwing, cela montre que l’intervention de l’AP est nécessaire. « C’est très bien que l’autorité néerlandaise de protection des données fasse enfin quelque chose. Les régulateurs étrangers ont exigé que Clearview supprime les visages des citoyens de ce pays de leur base de données. Nous le voulons aussi. »
« L’AP doit également s’exprimer clairement », déclare Houwing. « Il est illégal de gratter tous les visages sur Internet comme un aspirateur. C’est ce qui ne va pas avec Clearview. »