La police suédoise condamnée à une amende pour utilisation illégale d’une application de reconnaissance faciale

L’autorité suédoise de protection des données IMY a condamné l’Autorité suédoise de police à une amende de 250 000 euros pour avoir illégalement utilisé la société controversée clearview AI pour identifier les personnes en violation de la Loi sur les données pénales du pays.

À la suite d’informations paru dans les médias locaux, une enquête de l’IMY a révélé qu’entre l’automne 2019 et le 3 mars 2020, l’application Clearview AI avait été utilisée par la police suédoise à plusieurs reprises et que plusieurs employés avaient utilisé l’outil de reconnaissance faciale sans autorisation préalable.

« La police n’a pas rempli ses obligations en tant que contrôleur de données sur un certain nombre de comptes en ce qui concerne l’utilisation de Clearview AI. La police n’a pas mis en œuvre suffisamment de mesures organisationnelles pour garantir et être en mesure de démontrer que le traitement des données personnelles dans cette affaire a été effectué conformément à la Loi sur les données pénales », a écrit l’IMY dans un communiqué.

« Lors de l’utilisation de Clearview AI, la police a illégalement traité des données biométriques pour la reconnaissance faciale, en plus de ne pas avoir fait d’étude d’impact sur la protection des données. [DPIA] ce cas de traitement exigerait.

Dans le cadre des mesures d’application de la loi, l’Administration de police a reçu l’ordre de former et d’éduquer davantage ses employés afin d’éviter toute violation future des règles de protection des données lors du traitement des données personnelles.

L’IMY a également ordonné d’informer les personnes dont la vie privée avait été violée lorsque les règles de confidentialité le permettent.

« Il existe des règles et des règlements clairement définis sur la façon dont l’Administration policière peut traiter les données personnelles, en particulier à des fins d’application de la loi. Il est de la responsabilité de la police de s’assurer que les employés sont au courant de ces règles », a déclaré Elena Mazzotti Pallard, conseillère juridique de l’IMY.

L’autorité de protection des données a en outre déclaré qu’elle n’était pas en mesure de déterminer ce qui est arrivé aux données personnelles de ceux dont la police a partagé des images avec Clearview AI, et si l’entreprise détient toujours les informations. L’IMY a donc ordonné à la police de s’assurer que Clearview AI supprime les données qu’elle détient sur eux d’ici le 15 septembre 2021.

L’IMY a déjà émis une amende biométrique à une école secondaire en octobre 2019 en vertu du Règlement général sur la protection des données (GDPR), lorsqu’il a été révélé que l’école n’avait pas non plus effectué une DPIA suffisante avant de déployer une technologie de reconnaissance faciale dans le cadre d’un test limité dans le temps pour identifier les élèves qui fréquentent les classes.

En juillet 2020, le Bureau du commissaire à l’information (OIC) du Royaume-Uni et le Bureau du commissaire australien à l’information (OAIC) ont annoncé que les agences enquêteraient conjointement sur Clearview AI pour son utilisation présumée de données grattées et de données biométriques de personnes collectées sur Internet sans leur permission.

Toni Vitale, associé et responsable de la protection des données chez JMW Solicitors, a déclaré à Computer Weekly à l’époque : « La technologie permettant aux entreprises de gratter des données à partir d’Internet et de les combiner avec des informations sur les utilisateurs existe depuis de nombreuses années, mais ce que Clearview semble avoir fait est de combiner des données personnelles avec des photos de personnes obtenues à partir d’Internet.

« Si les données sont utilisées strictement aux fins de l’application de la loi, le consentement des individus n’est pas requis en vertu des lois du Royaume-Uni ou de l’Australie, mais il ne pose la question de savoir dans quelle mesure Clearview a été transparent sur ses pratiques et ce qu’il fait avec les données de sujets de données inégalées. »

La police britannique est également aux prises avec des DPIA

Au Royaume-Uni, les forces de police ont également eu du mal à créer suffisamment de DPIA en vertu de la Loi de 2018 sur la protection des données (DPA 18), qui, comme la Loi suédoise sur les données pénales, a également été transposée dans la directive de l’Union européenne (UE) sur l’application de la loi et a donc des exigences similaires en matière de diligence raisonnable.

Par exemple, la police du Pays de Galles du Sud a suscité des critiques dans une affaire d’appel pour son utilisation de la reconnaissance faciale automatisée, dans laquelle le tribunal a statué : « La DPIA n’a pas correctement évalué les risques pour les droits et libertés des sujets de données et n’a pas abordé les mesures envisagées pour faire face aux risques découlant des lacunes que nous avons constatées. »

À la suite d’une enquête sur la liberté de l’information ,Computer Weekly a révélé en décembre 2020 que les forces de police britanniques traitaient illégalement plus d’un million de données personnelles sur le service de cloud public hyperscale Microsoft 365 (M365) après avoir omis d’effectuer des contrôles de protection des données avant leur déploiement.

Bien que le déploiement du M365 soit en cours depuis septembre 2017, les demandes d’IA d’Computer Weekly montrent que toutes les forces impliquées à ce moment-là, à l’exception de Kent, n’avaient pas encore effectué les DPIA légalement requises avantny nouveaux déploiements technologiques.

Computer Weekly a également constaté que les forces de police n’avaient pas respecté les principales exigences contractuelles et de traitement du DPA 2018, telles que les restrictions imposées aux transferts internationaux, ainsi que certaines exigences en matière d’exploitation forestière des activités et des consultations.

Au cours de l’enquête, le National Enabling Programme (NEP), qui est le fer de lance de la livraison de nouvelles méthodes de travail compatibles avec le cloud pour la police britannique, a déclaré à Computer Weekly que l’OIC avait reçu une copie complète de son DPIA M365 et que l’organisme de réglementation de la protection des données avait « fourni des commentaires et des commentaires détaillés sur le document ».

En vertu de l’APP 18, il est obligatoire d’envoyer une EFD à l’OIC lorsque le traitement des données personnelles présente un risque élevé qui ne peut être atténué.

Toutefois, lorsqu’Computer Weekly lui a demandé s’il avait effectivement été consulté sur le DPIA national, l’OIC a d’abord refusé de confirmer de toute façon.

Lorsqu’on lui a fait part de l’allégation du NEP, un porte-parole de l’OIC a ensuite répondu en contredisant directement les allégations du NEP: « Nous avons fourni des conseils informels en matière de protection des données sur le Programme national d’habilitation, mais une étude d’impact sur la protection des données n’a pas été officiellement soumise pour consultation avec le commissaire. »