Chronique - Les limites du web scrapping posées sous l’angle de la reconnaissance faciale

Chronique Juridique
05/12/2022

Par Alexandrine PANTZ

Avocat à la Cour

  • Qu’est-ce que le web scrapping ?

Le web scrapping est une technique de plus en plus répandue d’extraction de contenu des sites internet faite de manière « sauvage ». En effet, ces extractions sont faites sans qu’aucune demande d’autorisation ne soit demandée aux propriétaires des sites internet ou des photographies.
Ces extractions peuvent concerner : des contenus, des graphismes, des données personnelles ou des photographies.
Mais cela devient une question majeure lorsque la réutilisation de ces photographies a pour seul objet la reconnaissance faciale.
Lorsque aucune autorisation n’est demandée, il s’agit d’une violation du droit à la vie privée.
C’est bien ce qui est rappelé par la CNIL dans la décision du 17 octobre 2022.

  • Une technologie de reconnaissance faciale avancée

Une société américaine, Clearview AI, a développé une technologie permettant de rechercher un visage parmi une base de données de vingt milliards d’images. Or cette « base » d’images a été obtenue par extraction sans autorisation de sites internet et des réseaux sociaux.
À l’origine, cette technologie ne devait servir qu’aux forces de l’ordre.
Mais en réalité, elle est commercialisée au grand public sans aucune protection.
Et pour satisfaire ses clients, les aspirations ont été très intenses sur l’ensemble des réseaux sociaux, qui ont vivement réagi.

  • Les réseaux sociaux refusent de se laisser aspirer les données de leurs internautes.

C’est ainsi que dès 2020, Twitter obtient d’un juge américain la cession et la suppression de toutes les données collectées sur son site.
Google/ YouTube et Facebook font de même, et l’obtiennent également.

  • Sanctions internationales

Les États-Unis, par les État du New Jersey et de l’Illinois, ont condamné Clearview et l’ont interdite d’utilisation dès 2020.
La Grande Bretagne l’a condamnée à une amende record de 7,5 millions de livres sterling pour avoir illégalement collecté les données de millions de citoyens britanniques.
Elle est condamnée par 3 États de l’Union Européenne à 3 amendes records de 20 Millions d’euros chacune : l’Italie, la Grèce et la France.
En effet, le RGPD s’applique à partir du moment où des données de citoyens européens sont utilisées par une technologie, peu importe que la société qui exploite la technologie ne soit pas basée sur le territoire de l’Union Européenne.

  • La position de CNIL concernant la reconnaissance faciale

En France, la CNIL ouvre une enquête dès 2021 sur les pratiques de Clearview AI.
La CNIL nourrit une réflexion très avancée sur la reconnaissance faciale.
Dès 2018, elle avait proposé un débat politique sur le sujet, et avait remis un rapport en 2019 aux termes duquel elle rappelait qu’elle serait vigilante au déploiement de toutes technologies de reconnaissance faciale, et qu’elle veillerait au strict respect des droits et libertés fondamentales des individus en matière de données personnelles.

  • Sanction de la CNIL

Les investigations menées par la CNIL ont permis de constater plusieurs manquements au RGPD :

  • La collecte et l’utilisation des données biométriques s’effectuent sans base légale ;
  • L’absence de prise en compte des droits des personnes, absence de consentement.

En effet, selon la CNIL, « la technologie utilisée transforme les caractéristiques physiques de la personne en données biométriques. »
« L’immense majorité des personnes dont les images sont aspirées et versées dans le moteur de recherche ignore être concernée par ce dispositif. »
En décembre 2021, la CNIL met en demeure Clearview AI, lui demandant de cesser la collecte et l’usage des données collectées en France et lui enjoignant de faciliter l’exercice des droits des personnes.
Clearview n'a pas donné suite à la mise en demeure.
Par une décision du 17 Octobre 2022, la CNIL la condamne à une amende de 20 millions d'euros le 20 octobre 2022, à laquelle elle a deux mois pour se conformer sous peine d'une astreinte de 100 mille euros d'amende supplémentaires par jour de retard.

  • La protection des données personnelles est une base de confiance sur internet

Les données issues d’Internet sont très protégées. Leur utilisation et leur réutilisation sont soumises à des règles strictes, que l’ensemble des acteurs font respecter de manière sévère. Il s’agit d’une question de confiance de l’utilisation d’Internet.

Article paru dans La Dépêche du Midi, Annonces légales

À lire aussi