L'amende massive infligée à Clearview AI pour violation du RGPD, et ce que cela signifie

« Bouger vite et faire de la casse. »

« Il est plus facile de demander pardon que d’obtenir la permission. »

« Faire le tour de la question et trouver. »

Ce qui a inspiré cet ensemble quelque peu circulaire de clichés à me trotter dans la tête, c'est l'annonce, début septembre, que Clearview AI, qui fournit des logiciels et des services de reconnaissance faciale, a été condamné à une amende de 30,5 millions d'euros (environ 34 millions de dollars) par l'autorité néerlandaise de protection des données (DPA) pour avoir enfreint le règlement général sur la protection des données (RGPD) de l'Union européenne.

Au cas où vous ne connaissiez pas le RGPD, il s'agit de l'une des réglementations les plus strictes au monde en matière de protection des données, promulguée pour la première fois en 2018. Le principe fondamental est que si vous collectez et stockez des données personnelles sur un résident de l'UE, vous devez obtenir son consentement et traiter ces données avec le plus grand soin pour garantir leur sécurité.

Le RGPD exige que les données soient stockées et traitées uniquement dans l'UE, c'est l'une des raisons pour lesquelles Barracuda possède aujourd'hui beaucoup plus d'infrastructures de stockage de données à l'étranger qu'avant l'entrée en vigueur du RGPD.

Des milliards de visages

L'amende vertigineuse infligée à Clearview AI s'explique par le fait que, selon la DPA, l'entreprise a constitué une « base de données illégale contenant des milliards de photos de visages ». Comme l'indique le site web de l'entreprise, « Notre plateforme, basée sur la technologie de reconnaissance faciale, comprend la plus grande base de données connue de plus de 50 milliards d'images faciales provenant de sources Web réservées au public, notamment des médias d'information, des sites de photos d'identité, des réseaux sociaux publics et d'autres sources ouvertes. »

Tel est le modèle commercial de Clearview AI : construire une énorme base de données de visages et de noms associés, analyser les images pour attribuer un code biométrique unique à chaque visage, puis fournir un service à la police, à l'armée et aux services de renseignement qui leur permet de scanner de nouvelles images, par exemple des séquences de surveillance ou des photos d'une manifestation politique, afin d'identifier les personnes qui y figurent.

Il est évident que cela peut avoir des utilisations positives, comme aider à résoudre des crimes. Mais il peut être utilisé à des fins plus sinistres, telles que l'aide à un régime dictatorial pour identifier et punir ses opposants politiques.

Enfreindre la loi

Le RGPD est très clair à ce sujet : vous ne pouvez pas collecter les données des personnes, y compris les données biométriques faciales, sans leur consentement ou à leur insu, et sans les informer pleinement de l'utilisation qui en sera faite. Vous devez également prévoir un moyen pour les personnes d'accéder à leurs données sur demande.

Pour sa part, Clearview AI affirme qu'elle n'est pas soumise à la réglementation RGPD parce qu'elle n'a pas de bureau dans l'UE, ce qui, de mon point de vue de non-expert, est un argument totalement fallacieux qui ne l'exonère en rien.

Selon le président néerlandais de la DPA, Aleid Wolfsen, « Nous allons maintenant déterminer si nous pouvons engager la responsabilité personnelle de la direction de l'entreprise et lui infliger une amende pour avoir dirigé ces violations. Cette responsabilité existe déjà si les directeurs savent que le GDPR est violé, ont l'autorité pour y mettre fin, mais omettent de le faire, et acceptent ainsi consciemment ces violations ».

Si vous doutez que la direction de Clearview AI savait qu'elle violait le RGPD et qu'elle l'a adopté comme stratégie délibérée, contactez-moi, on a des choses à se dire.

Non. Il s'agit clairement d'un exemple des deux premiers aphorismes par lesquels j'ai entamé cet article. Et si l'entreprise et ses dirigeants finissent par devoir payer de lourdes amendes, cela illustre également le troisième principe.

À l'instar d'Uber qui s'implante agressivement dans les villes en violation évidente de leurs règles de répartition des véhicules de transport et des limousines, Clearview AI espère probablement qu'en s'imposant comme le seul fournisseur de sa marque de service et en se constituant une clientèle de gouvernements et de leurs agences, elle pourra se mettre à l'abri de l'application des lois sur la protection de la vie privée.

Wolfsen a lancé un avertissement : « Clearview enfreint la loi, ce qui rend illégale l'utilisation des services de Clearview. Les organisations néerlandaises qui utilisent Clearview peuvent donc s’attendre à de lourdes amendes de la part de l’APD néerlandaise. » Mais une fois que les gens se sont habitués à la commodité du covoiturage, les régulateurs n’ont eu d’autre choix que de les satisfaire. De même, on voit mal la police et les services de renseignement renoncer volontairement au pouvoir de mettre un nom sur n'importe quel visage figurant sur n'importe quelle photo.

Conformons-nous aux normes

Si rien d'autre, l'amende de 30,5 millions d'euros infligée à Clearview AI démontre que les régulateurs européens sont extrêmement sérieux quant à l'application du RGPD. Ainsi, pour les besoins de l'argumentation, disons que votre organisation préférerait se conformer au RGPD et à d'autres règles de confidentialité des données, et éviter le risque d'être soumise à des amendes massives.

Une étape importante consiste à vous assurer de savoir exactement où sont stockées les données protégées des clients et autres données sensibles, et à remédier à toute exposition potentielle. Barracuda Data Inspector analyse automatiquement vos données SharePoint et OneDrive pour identifier les données sensibles mal stockées et pour détecter et éliminer les malwares ou autres fichiers malveillants. C'est un excellent moyen d'accroître votre tranquillité d'esprit et de vous assurer que vous restez en conformité et que vous ne risquez pas de payer des amendes massives.