retour

RGPD et IA : cas pratique de l'application extraterritoriale du RGPD avec les décisions Clearview AI

Article IT et données personnelles | 10/10/24 | 6 min. | Florence Chafiol Robin Nini

Tech & Digital

Par trois décisions rendues par les autorités de protection italiennes, françaises et néerlandaises, la société Clearview AI a été sanctionnée pour de nombreux manquements au RGPD.

Au-delà des violations commises par la société, ces décisions illustrent la portée extraterritoriale large du RGPD, qui s'applique à une entreprise qui (i) ne dispose d'aucun établissement dans l'Union Européenne et (ii) ne fournit pas de biens ou de services dans l'Union.

Les autorités ont jugé que le RGPD s'applique au traitement de la société car sa base de données contient des photographies de personnes situées dans l’Union Européenne, collectées depuis des sources publiquement accessibles, qui permettent un « suivi du comportement » de ces personnes (article 3.2 (b)).

Ces conclusions pourraient s'appliquer à tout système d'intelligence artificielle collectant massivement des données personnelles, peu importe la localisation du fournisseur ou le marché visé.
 

Rappel des faits

Clearview AI est une entreprise qui propose un moteur de recherche d'images de personnes physiques.

Sa technologie repose sur la réalisation régulière d’extractions massives (« scraping ») d’images de personnes physiques issues de sources publiquement accessibles sur internet, notamment des réseaux sociaux et des moteurs de recherche.

Une fois ces images collectées, Clearview génère un gabarit biométrique unique pour chaque personne, permettant à ses clients d'effectuer des correspondances entre la photographie soumise au moteur de recherche (« probe image ») et celles présentes dans la base de données du système.

Cela permet aux utilisateurs de la solution, principalement des forces de l'ordre, d'identifier avec précision des personnes recherchées.

Clearview AI collecte également les métadonnées des photographies, telles que la localisation et les informations ajoutées par la personne. Ces informations supplémentaires permettent d’établir un profil encore plus précis de la personne.

Clearview AI a ainsi constitué une base de données contenant plus de 30 milliards de photographies, incluant celles de personnes situées dans l'Union Européenne.
 

La collecte régulière de photographies est un « suivi du comportement » indépendamment de la finalité du traitement.

Or, en collectant régulièrement des photographies d'une même personne physique pour alimenter et mettre à jour sa base de données, Clearview AI réalise un traitement de « suivi du comportement » de personnes situées dans l'Union Européenne au sens de l'article 3.2 (b) du RGPD.

Il est en effet possible, sur la base de ces photographies, de déduire des changements physiques d'une personne déterminée, des informations personnelles comme sa vie maritale ou les actions qu'elle réalise.

Les décisions sont particulièrement intéressantes en ce que les autorités de protection ont écarté l'argument de Clearview AI selon lequel le suivi du comportement n'était pas la finalité du traitement réalisé.

Il en ressort dès lors que la simple collecte de données permettant un suivi du comportement rend le RGPD applicable au traitement concerné, indépendamment de la finalité effectivement poursuivie par ce traitement.
 

Les implications pour les fournisseurs de systèmes d’intelligence artificielle

Ces décisions montrent que tous les fournisseurs de systèmes d'IA fonctionnant par la collecte massive et indifférenciée de données peuvent être soumis au RGPD, même lorsque le fournisseur n'a pas l'intention de viser le marché européen.

Les conclusions pourraient être applicables à de multiples systèmes d'IA tels que :
- Moteurs de recherche intelligents comme Clearview AI
- IA prédictives entraînées sur des données personnelles
- IA génératives de vidéo entraînées sur des images/vidéos publiques pour calquer et imiter les comportements humains
 

Recommandations pour les développeurs de systèmes d’IA

Les fournisseurs d'IA devraient ainsi évaluer l’applicabilité du RGPD dès la conception de l'outil en déterminant les données utilisées pour l'entraînement et le fonctionnement du système.

Pour réduire les risques liés au RGPD, il est possible d'implémenter des filtres afin d'éviter la collecte de données personnelles provenant de personnes situées dans l'Union Européenne, comme le recommande l'autorité néerlandaise.

De plus, il est conseillé de stipuler contractuellement avec les clients déployeurs que ces derniers ne doivent pas utiliser la solution pour traiter des données de personnes situées dans l'Union Européenne, sauf si ces données restent dans le système d'information du déployeur et ne sont pas réintégrées dans la base de données du système d’IA pour l'entraîner et l'améliorer.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement