Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
RESUMEN
La Comisión Nacional de Informática y Libertades, CNIL, de Francia ha emplazado a CLEARVIEW AI de cesar la colecta y el uso de fotografías y videos accesibles en Internet por incumplimientos a la RGPD, y a la ley de 1978 transpuesta en Francia de ese Reglamento. Son dos los motivos: 1. tratamiento ilegal de datos personales y 2. ausencia de consideración satisfactoria y efectiva de los derechos de las personas, en particular, de acceso a sus datos.
El suscrito ha traducido del francés al castellano el resumen de la nota publicada por la CNIL. El enlace al recurso original se encuentra en: https://www.cnil.fr/en/node/121908
_________________________________________________________
Reconocimiento facial: la CNIL emplaza a CLEARVIEW AI de cesar la reutilización de fotografías accesibles en Internet.
16 diciembre 2021
________________________________________
La empresa CLEARVIEW AI ha desarrollado un software de reconocimiento facial cuya base de datos reposa sobre la extracción de fotografías y vídeos disponibles públicamente en Internet. El presidente de la CNIL la ha emplazado de cesar este tratamiento ilegal y suprimir los datos en un plazo de 2 meses.
Desde mayo de 2020, la CNIL recibió quejas de algunas
personas física sobre un programa informático de reconocimiento facial de
Clearview AI y abrió una investigación. En mayo de 2021, la asociación Privacy
International también alertó a la CNIL sobre esta práctica.
Durante este procedimiento, la CNIL cooperó con sus homólogos europeos para compartir los resultados de las investigaciones, siendo cada autoridad competente para actuar en su propio territorio debido a la falta de establecimiento de la empresa CLEARVIEW AI en Europa.
Las investigaciones llevadas a cabo por la CNIL revelaron dos incumplimientos del RGPD:
1. un tratamiento ilegal de datos personales (incumplimiento del artículo 6 del RGPD) ya que su colecta y uso de los datos biométricos se lleva a cabo sin una base legal;
2. la ausencia de consideración satisfactoria y efectiva de los derechos de las personas, en particular las solicitudes de acceso a sus datos (artículos 12, 15 y 17 del RGPD).
En consecuencia, el presidente de la CNIL decidió de emplazar a la empresa CLEARVIEW AI de:
• cesar la colectar y el uso de los datos de personas que se encuentran en el territorio francés en ausencia de una base legal;
• facilitar el ejercicio de los derechos de los interesados y abrir derecho a las solicitudes de supresión realizadas.
La empresa CLEARVIEW AI dispone de un plazo de dos meses para cumplir con las medidas cautelares formuladas en el emplazamiento y justificarlas ante la CNIL. Si, al final de este período, ella no ha cumplido, el presidente de la CNIL tendrá la posibilidad de remitir el asunto a la formación restringida de la CNIL quien podrá imponer una sanción, en particular pecuniaria.
El funcionamiento del servicio de reconocimiento facial CLEARVIEW AI
La empresa CLEARVIEW AI colecta fotografías proveniente de una gran cantidad de sitios web, incluidas las redes sociales. Recoge en estas redes todas las fotografías a las que se puede acceder directamente, es decir, que se pueden ver sin iniciar sesión en una cuenta. Las imágenes también son extraídas de videos disponibles en línea, cualquiera que sean las plataformas.
De esta manera, la empresa
se ha apropiado más de 10 mil millones de imágenes en todo el mundo.
Gracias a esta colección, la empresa comercializa el acceso a su base de datos de imágenes bajo la forma de un motor de búsqueda en la cual se puede buscar una persona a partir de una fotografía. En particular, la empresa ofrece este servicio a fuerzas del orden encargadas de hacer cumplir la ley, con el fin de identificar a los autores o víctimas de delitos.
La tecnología de reconocimiento facial se utiliza así para consultar el motor de búsqueda y encontrar a una persona a partir de una fotografía. Para ello, la empresa constituye una "plantilla biométrica", es decir, una representación numérica de las características físicas de las personas (en este caso, el rostro). Estos datos biométricos son particularmente sensibles, en particular porque están vinculados a nuestra identidad física (quiénes somos) y que nos permiten ser identificados de manera única.
La gran mayoría de las personas cuyas imágenes son colectadas y depositadas en el motor de búsqueda ignoran estar afectadas por este dispositivo.
El detalle de las infracciones identificadas
Un tratamiento ilícito de datos personales (incumplimiento del artículo 6 del RGPD).
Para que sea lícito, un tratamiento de datos personales debe reposar sobre una de las bases jurídicas mencionadas en el artículo 6 del RGPD. El programa de reconocimiento facial Clearview AI, que no respeta esta regla, es entonces ilegal.
En efecto, esta empresa no recoge el consentimiento de las personas concernidas para colectar y utilizar sus fotografías para alimentar su programa informático.
Clearview AI no dispone menos de un interés legítimo en la colecta y uso estos datos, particularmente en consideración a la naturaleza particularmente intrusiva y masiva del procedimiento que permite de recuperar imágenes presentes en Internet de varias decenas de millones de usuarios de Internet en Francia. Estas personas, cuyas fotografías o videos son accesibles en varios sitios web y redes sociales, no esperan razonablemente que sus imágenes sean procesadas por la empresa para alimentar un sistema de reconocimiento facial que pueda ser utilizado por los Estados para fines policiales.
La gravedad de esta infracción llevó al presidente de la CNIL a ordenar a Clearview AI que cesara, por falta de base legal, la colecta y el uso de datos de personas que se encuentran en el territorio francés, en el marco del funcionamiento del programa de reconocimiento facial que comercializa.
Los derechos de las personas no respetados (artículos 12, 15 y 17 del RGPD)
Las denuncias recibidas por la CNIL revelaron las dificultades que encontraron los denunciantes para ejercer sus derechos ante la empresa Clearview AI.
Por un lado, la empresa no facilita el ejercicio del derecho de acceso a los interesados:
• limitando el ejercicio de este derecho a los datos recopilados durante los doce meses que preceden a la solicitud;
• restringiendo el ejercicio de este derecho a dos veces por año, sin justificación;
• no respondiendo a determinadas solicitudes sólo después de un número
excesivo de solicitudes de la misma persona.
Por otro lado, la empresa no responde de forma efectiva a las solicitudes de acceso y supresión que le son dirigidas. Ella proporciona en efecto respuestas parciales o no responde a las solicitudes en absoluto.
La empresa, quien incumple sus obligaciones en virtud del RGPD, es así emplazada a:
• facilitar el ejercicio de los derechos de los interesados;
• cumplir con las solicitudes de supresión formuladas.
Para saber más
> Sentencia n° MED-2021-134 del 26 de noviembre de 2021 dando aviso formal a la empresa CLEARVIEW AI
Textos de referencia
> Artículo
6 - Legalidad del tratamiento
> Capítulo
III - Derechos del titular de los datos
___________________
Reconnaissance faciale :
la CNIL met en demeure CLEARVIEW AI de cesser la réutilisation de photographies
accessibles sur internet
16 December 2021
La société
CLEARVIEW AI a développé un logiciel de reconnaissance faciale dont la base de
données repose sur l’aspiration de photographies et de vidéos publiquement
accessibles sur internet. La présidente de la CNIL l’a mise en demeure de
cesser ce traitement illicite et de supprimer les données dans un délai de 2
mois.
À partir de mai
2020, la CNIL a reçu des plaintes de particuliers au sujet du logiciel de
reconnaissance faciale de Clearview AI et a ouvert une enquête. En mai 2021,
l’association Privacy International a également alerté la CNIL sur cette pratique.
Au cours de cette
procédure, la CNIL a coopéré avec ses homologues européens afin de partager le
résultat des investigations, chaque autorité étant compétente pour agir sur son
propre territoire en raison de l’absence d’établissement de la société CLEARVIEW
AI en Europe.
Les investigations
menées par la CNIL ont permis de constater deux
manquements au RGPD :
- un traitement illicite de
données personnelles (manquement à l’article 6 du RGPD) car leur collecte
et l’utilisation des données biométriques s’effectuent sans base légale ;
- l’absence de prise en compte
satisfaisante et effective des droits des personnes, notamment des
demandes d’accès à leurs données (articles 12, 15 et 17 du RGPD).
En conséquence, la
présidente de la CNIL a décidé de mettre
la société CLEARVIEW AI en demeure de
:
- cesser la collecte et
l’usage des données de personnes se trouvant sur le territoire français en
l’absence de base légale ;
- faciliter l’exercice des
droits des personnes concernées et de faire droit aux demandes
d’effacement formulées.
La société
CLEARVIEW AI dispose d’un délai de deux mois pour respecter les injonctions
formulées dans la mise en demeure et en justifier auprès de la CNIL. Si, à
l’issue de ce délai, elle ne s’est pas conformée, la présidente de la CNIL aura
la possibilité de saisir la formation restreinte de la CNIL qui pourra
prononcer une sanction, notamment pécuniaire.
Le
fonctionnement du service de reconnaissance faciale de CLEARVIEW AI
La société
CLEARVIEW AI aspire des photographies provenant de très nombreux sites web, y
compris des réseaux sociaux. Elle collecte sur ces réseaux l’ensemble des
photographies directement accessibles, c’est-à-dire pouvant être consultées
sans connexion à un compte. Des images sont également extraites de vidéos
disponibles en ligne quelles que soient les plateformes.
De cette manière,
la société s’est appropriée plus de 10 milliards d’images à travers le monde.
Grâce à cette
collecte, la société commercialise l’accès à sa base d’images sous la forme
d’un moteur de recherche dans lequel une personne peut être recherchée à l’aide
d’une photographie. La société offre notamment ce service à des forces de
l’ordre, afin d’identifier des auteurs ou des victimes d’infraction.
La technologie de
reconnaissance faciale est ainsi utilisée pour interroger le moteur de
recherche et trouver une personne à partir de sa photographie. Pour ce faire,
la société constitue un « gabarit biométrique », c’est-à-dire une représentation
numérique des caractéristiques physiques des personnes (ici, le visage). Ces
données biométriques, sont particulièrement sensibles, notamment parce qu’elles
sont liées à notre identité physique (ce que nous sommes) et qu’elles
permettent de nous identifier de façon unique.
L’immense majorité
des personnes dont les images sont aspirées et versées dans le moteur de
recherche ignore être concernée par ce dispositif.
Le
détail des manquements relevés
Un traitement
illicite de données personnelles (manquement à l’article 6 du RGPD)
Pour être licite,
un traitement de données personnelles doit reposer sur l’une des bases légales
visées à l’article 6 du RGPD. Le logiciel de reconnaissance faciale Clearview
AI, qui ne respecte pas cette règle, est donc illicite.
En effet, cette
société ne recueille pas le consentement des personnes concernées pour aspirer
et utiliser leurs photographies afin d’alimenter son logiciel.
Clearview AI ne
dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données,
notamment au regard du caractère particulièrement intrusif et massif du procédé
qui permet de récupérer les images présentes sur internet de plusieurs dizaines
de millions d’internautes en France. Ces personnes, dont les photographies ou
vidéos sont accessibles sur divers sites web et des réseaux sociaux, ne
s’attendent raisonnablement pas à ce que leurs images soient traitées par la
société pour alimenter un système de reconnaissance faciale pouvant être
utilisé par des Etats à des fins policières.
La gravité de ce
manquement conduit la présidente de la CNIL à enjoindre à Clearview AI de
cesser, faute de base légale, la collecte et l’usage des données de personnes
se trouvant sur le territoire français, dans le cadre du fonctionnement du
logiciel de reconnaissance faciale qu’elle commercialise.
Les droits des
personnes non respectés (articles 12, 15 et 17 du RGPD)
Les plaintes reçues
par la CNIL ont révélé les difficultés rencontrées par les plaignants pour
exercer leurs droits auprès de la société Clearview AI.
D’une part, la
société ne facilite pas l’exercice du droit d’accès des personnes concernées :
- en limitant l’exercice de ce
droit aux données collectées durant les douze mois précédant la demande ;
- en restreignant l’exercice
de ce droit à deux fois par an, sans justification ;
- en ne répondant à certaines
demandes qu’à l’issue d’un nombre excessif de demandes d’une même
personne.
D’autre part, la
société ne répond pas de manière effective aux demandes d’accès et d’effacement
qui lui sont adressées. Elle fournit en effet des réponses partielles ou ne
répond pas du tout aux demandes.
La société, qui
manque à ses obligations en vertu du RGPD, est donc mise en demeure de :
- faciliter l’exercice des
droits des personnes concernées ;
- faire droit aux demandes
d’effacement formulées.
Texte reference
Pour
en savoir plus
> Décision n° MED-2021-134 du 26 novembre 2021 mettant
en demeure la société CLEARVIEW AI
Texte reference
Textes
de référence
> Article 6 – Licéité du traitement
> Chapitre III – Droits de la personne concernée
No hay comentarios:
Publicar un comentario