Délibération MEDP-2021-002 du 6 décembre 2021

Commission Nationale de l’Informatique et des Libertés

  • Nature de la délibération : Mise en demeure
  • Etat juridique : En vigueur
  • Date de publication sur Légifrance : Jeudi 16 décembre 2021
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2021-002 du 6 décembre 2021 décidant de rendre publique la mise en demeure n° MED-2021-134 du 26 novembre 2021 prise à l’encontre de la société X

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 6 décembre 2021 sous la présidence de Madame Marie-Laure DENIS ;

Siégeaient, outre la Présidente de la Commission, Madame Sophie LAMBREMON, Vice-présidente déléguée, et Monsieur François PELLEGRINI, Vice-président ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 20 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° MED-2021-134 du 26 novembre 2021 de la Présidente de la Commission mettant en demeure la société X ;

A adopté la délibération suivante :

La Commission nationale de l’informatique et des libertés (ci-après " CNIL ") a été saisie entre mai et décembre 2020 de plusieurs réclamations relatives aux difficultés rencontrées par les plaignants pour exercer leurs droits d’accès et d’effacement auprès de la société X (ci-après " la société ").

Dans le cadre de l’assistance mutuelle prévue à l’article 61 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " RGPD "), la CNIL s’est vue communiquer par plusieurs de ses homologues européens des informations utiles relatives aux traitements mis en œuvre par la société.

Une délégation de la CNIL a procédé à une mission de contrôle sur pièces par l’envoi d’un questionnaire le 27 octobre 2020, qui portait sur les différents traitements mis en œuvre par la société, les organismes utilisateurs des services de la société (actuels ou anciens) ayant leur principal établissement en France ou au sein de l’Union européenne ainsi que sur plusieurs réclamations.

Le 27 mai 2021, la CNIL a également été saisie d’une plainte de l’organisme Privacy International portant sur le logiciel de reconnaissance faciale de la société et son utilisation par les forces de l’ordre.

Il ressort de ces éléments que la société a développé et commercialisé un logiciel de reconnaissance faciale, dont la base de données repose sur l’aspiration de photographies ou vidéos, contenant des visages, publiquement accessibles sur des millions de sites web, y compris sur des réseaux sociaux.

Il a été constaté que la société met en œuvre ce traitement de manière illicite puisqu’elle ne dispose d’aucune base juridique pour ce faire, en méconnaissance de l’article 6 du RGPD. En outre, il est relevé que la société a méconnu son obligation de respecter et de faciliter l’exercice des droits d’accès et d’effacement des personnes concernées, en méconnaissance des articles 12, 15 et 17 du RGPD.

En conséquence, par décision du 26 novembre 2021, la Présidente de la Commission a, sur le fondement de l’article 20 de la loi du 6 janvier 1978 modifiée, mis en demeure la société X, sise […], de faire cesser sous un délai de deux (2) mois les manquements constatés aux obligations prévues aux articles 6, 12, 15 et 17 du RGPD. Elle a enjoint à la société de ne plus procéder sans base légale à la collecte et au traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français dans le cadre du fonctionnement du logiciel de reconnaissance faciale qu’elle commercialise.

En application du dernier alinéa du II de l’article 20 la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 6 décembre 2021.

Après en avoir délibéré, le bureau estime que la publicité de la décision de mise en demeure est justifiée en raison, tout d’abord, des caractéristiques du traitement en cause. En effet, ce traitement concerne plus de dix milliards d’images ainsi qu’un nombre considérable de personnes concernées. Ce sont plusieurs millions de personnes en France dont le visage apparaît sur une photographie ou une vidéo publiquement accessible sur Internet, et notamment sur un compte de réseau social, qui sont susceptibles d’être concernées par ce traitement. La base de données étant en outre actualisée très régulièrement pour intégrer les informations nouvellement disponibles, le nombre de ces personnes est en constante évolution.

Ce traitement massif présente par ailleurs un caractère particulièrement intrusif en ce qu’il recueille sur une personne donnée un nombre potentiellement très important de données photographiques, auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de leur vie privée tels que leurs goûts et préférences (par exemple, en termes de loisirs) ou leurs convictions politiques ou religieuses, exprimés sur des réseaux sociaux, dans des articles de blogs ou encore des articles de presse.

À partir de ces données, est en outre constitué un gabarit biométrique, c’est-à-dire une donnée biométrique considérée comme sensible, qui vise à identifier la personne de façon unique à partir d’une photographie de l’individu. Il s’agit donc d’un dispositif de reconnaissance faciale et la société a pour objectif qu’il puisse être utilisé, notamment, par les forces de l’ordre pour identifier des auteurs et des victimes d’infractions à partir d’une photographie.

Dans ce contexte, le bureau rappelle, ensuite, la très haute gravité du manquement à l’article 6 du RGPD relevé par la CNIL. En effet, la société met en œuvre ce traitement en toute illicéité puisqu’elle ne dispose d’aucun fondement juridique à cette fin : ni intérêt légitime du responsable de traitement, ni consentement des intéressés.

Le bureau souligne enfin que la publicité de la décision de mise en demeure est également nécessaire pour informer les personnes concernées de l’existence de ce dispositif, que la grande majorité d’entre elles ignore qu’il puisse les concerner.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n° MED-2021-134 de la Présidente de la CNIL mettant en demeure la société X.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. Si la société se conforme en tout point aux exigences de la mise en demeure dans le délai imparti, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Enfin, tant la décision de mise en demeure précitée que la présente délibération ne permettront plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de leur publication.

La Président

Marie-Laure DENIS

Retourner en haut de la page