Clearview AI est l’éditeur d’un outil fondé sur l’intelligence artificielle permettant aux autorités de poursuite de s’appuyer sur des procédés de reconnaissance faciale afin de permettre à ces services de localiser des personnes recherchées ou d’identifier les auteurs d’infractions.
Des milliards de données issues des réseaux sociaux sont ainsi collectées et analysées, faisant de ce dispositif un répertoire de données impressionnant.
Malgré cet objectif sécuritaire, qui n’a pourtant rien de commun avec les systèmes utilisés par exemple en Chine, il ne fait pas l’unanimité au sein des défenseurs des droits et libertés des personnes et a fait l’objet de plusieurs plaintes sur le territoire nord-américain (Canada, Québec, Colombie-Britannique et Alberta).
Ce sont désormais les autorités britanniques et australiennes qui ont été saisies suite à une violation de données portant sur les clients de Clearview AI, leurs données ainsi que les recherches qu’ils effectuaient.
Les procédés de reconnaissance faciale font à l’heure actuelle l’objet d’une réflexion menée par la Commission européenne. Celle-ci a en effet présenté le 19 février 2020 un Livre blanc sur l’intelligence artificielle qui envisage l’adoption de normes sectorielles spécifiques dans les situations à risque pour les droits et libertés des individus.
Or, des applications d’IA, comme les procédés d’identification biométrique, présentent des risques particulièrement élevés au regard, d’une part, à l’atteinte aux droits fondamentaux et, d’autre part, au fonctionnement effectif du régime de responsabilité. Ces procédés risquent d’entrainer des erreurs et des discriminations.
Dans son Livre Blanc, la Commission n’a prévu aucune prohibition de la reconnaissance faciale. Elle a simplement rappelé qu’en ce domaine spécifique, tant la réglementation sur la protection des données personnelles que la Charte des droits fondamentaux de l’UE devaient être respectées.
Or, le RGPD prévoit un cadre spécifique pour le traitement des données biométriques dans un contexte commercial. Les données biométriques sont celles qui permettent de déceler une caractéristique physique ou biologique d’une personne.
Le traitement de ces données est règlementé par l’article 9.3 du RGPD. Ce traitement est interdit par principe sous réserve de deux exceptions : le consentement de la personne concernée ou la préservation d’un motif d’intérêt public ou de sauvegarde des intérêts vitaux.
Lorsqu’un motif d’ordre public est en jeu, en revanche, les principes du RGPD sont écartés au profit des normes spécifiques, à savoir la directive n° 2016/680 du 27 avril 2016[7], dite directive « Police-Justice »