Clearview AI, l’entreprise aux 100 millions d’euros d’amendes en Europe

Spécialisée dans la reconnaissance faciale, Clearview AI est une entreprise américaine fondée en 2017. Son modèle repose sur la constitution d’une base de données biométriques massive. Sur son site, Clearview AI revendique plus de 70 milliards d’images. Ces clichés sont extraits de plateformes sociales, de sites d’actualité, de blogs, de plateformes vidéo et d’annuaires professionnels. Chaque image subit un traitement algorithmique transformant les caractéristiques physiques en un « vecteur biométrique » unique.

À partir de 2021, plusieurs organisations européennes de défense des droits numériques ont joué un rôle majeur dans la constitution et le portage de plaintes visant Clearview AI, en accompagnant des particuliers dans leurs démarches et en coordonnant des actions transfrontalières. La plus visible est NOYB (None of Your Business), basée à Vienne et fondée par Max Schrems. NOYB a coordonné le dépôt de plaintes dans plusieurs États membres en mai 2021, en ciblant explicitement la collecte massive d’images et le traitement de données biométriques sans base légale.

« La technologie de reconnaissance faciale est extrêmement intrusive. Elle permet une surveillance de masse et l’identification immédiate de millions de personnes. Clearview AI a constitué une base de données mondiale de photographies et de données biométriques, rendant possible l’identification d’individus en quelques secondes. Une telle capacité soulève de sérieuses inquiétudes et remet en cause l’idée même d’une société libre, dans laquelle la surveillance devrait rester l’exception et non la règle », déclare Max Schrems.

Une série continue de sanctions à travers l’Europe

Plusieurs autres organisations ont également soutenu ou contribué au dépôt de plaintes contre Clearview AI, notamment Privacy International au Royaume-Uni et en France, Hermes Center for Transparency and Digital Human Rights en Italie et Homo Digitalis en Grèce. Leurs démarches ont joué un rôle déclencheur dans l’intervention des autorités de protection des données, dont la CNIL et ses homologues européens. En déposant des plaintes juridiquement structurées et étayées par des analyses techniques, ces organisations ont fourni aux régulateurs les éléments nécessaires pour engager des enquêtes formelles dans le cadre de leurs compétences nationales.

Entre 2021 et 2024, Clearview AI fait ainsi l’objet d’une série continue de sanctions et de décisions administratives de la part de plusieurs autorités européennes. La première sanction répressive est prononcée par l’autorité italienne en mars 2022, avec une amende de 20 millions d’euros assortie d’injonctions de cessation et de suppression des données. Quelques mois plus tard, en juillet 2022, l’autorité grecque inflige à son tour une amende de 20 millions d’euros pour des manquements comparables au RGPD. 

En France, la CNIL sanctionne Clearview AI en octobre 2022 d’une amende de 20 millions d’euros après une mise en demeure restée sans effet. En 2023, la CNIL renforce cette sanction par la liquidation d’une astreinte financière pour non-respect des injonctions de suppression des données. La même année, l’autorité autrichienne rend une décision constatant l’illégalité des traitements de Clearview AI, sans amende chiffrée, mais avec des obligations contraignantes. En septembre 2024, l’autorité néerlandaise prononce la sanction la plus élevée à ce stade, avec une amende de 30,5 millions d’euros.

Au Royaume-Uni, l’affaire Clearview AI débute en 2020-2021, lorsque l’Information Commissioner’s Office (ICO) ouvre une enquête. En mai 2022, l’ICO prononce une amende de 7,5 millions de livres sterling et ordonne la cessation des traitements ainsi que la suppression des données. Clearview conteste cette décision et obtient en octobre 2023 une décision partiellement favorable du tribunal de première instance, qui remet en cause la compétence de l’ICO. En octobre 2025, l’Upper Tribunal (Cour d’appel) infirme cette analyse et précise que le traitement automatisé permettant d’identifier des personnes au Royaume-Uni peut relever du RGPD britannique, même lorsqu’il est opéré par une entreprise étrangère sans présence locale.

Des cas documentés de clients européens

Depuis le début des procédures engagées en Europe, Clearview AI a adopté une stratégie de contestation et de non-conformité quasi systématique face aux injonctions des autorités de protection des données. L’entreprise a constamment soutenu qu’elle n’était pas soumise au droit européen, au motif de l’absence d’établissement dans l’Union et de clients situés sur le territoire européen. Elle n’a par ailleurs jamais supprimé les données incriminées.

Concernant l’absence de clients situés sur le territoire européen, les informations publiques ne permettent pas d’établir une liste complète, à jour et officielle des clients européens de Clearview AI, mais plusieurs cas documentés existent. Le premier concerne la police fédérale belge. Un rapport de l’Organe de contrôle de l’information policière (COC) confirme que la Police fédérale belge a utilisé Clearview AI dans le cadre d’un test par la Task Force d’Europol sur l’identification de victimes. L’utilisation a été jugée contraire au droit belge.

Selon le Comité européen de la protection des données (European Data Protection Board / EDPB), la Swedish Authority for Privacy Protection (la CNIL suédoise) a conclu que la police suédoise avait utilisé l’application Clearview AI pour la reconnaissance faciale en violation de la loi nationale sur les données criminelles, en traitant des données biométriques sans autorisation préalable ni mesures de conformité requises. À la suite de cette conclusion, l’autorité a infligé une amende administrative à la police, ordonné une formation renforcée du personnel et exigé que les personnes concernées soient informées et que les données partagées avec Clearview AI soient effacées.

En février 2020, une fuite majeure a révélé l’étendue du réseau clients de Clearview AI : une liste de 2 900 organisations dans 27 pays, dont 2 200 comptes actifs ayant effectué des recherches, avec au moins 600 services de police confirmés par l’entreprise elle-même. Le média BuzzFeed News, qui a eu accès à ces données, révèle que, entre fin 2019 et début 2020, de nombreux comptes enregistrés au Royaume-Uni et en Irlande ont utilisé la technologie de reconnaissance faciale de Clearview AI, bien avant que des régulateurs locaux n’agissent. Parmi les organisations publiques, la National Crime Agency (NCA) et la Metropolitan Police figurent en tête des structures ayant effectué des recherches dans la base de Clearview, avec plusieurs centaines d’interrogations du système. 

L’article montre aussi que des acteurs privés et semi-privés avaient accès à l’outil, souvent dans un contexte de tests ou de due diligence : des firmes d’investissement comme RIT Capital Partners, la société de services professionnels Aon et la banque Standard Chartered ont toutes eu des comptes avec des connexions enregistrées. De même, la charité Lumos, fondée par l’auteure J.K. Rowling, et l’Université de Birmingham ont eu des comptes ou mené des essais, même si ces organisations ont déclaré ne pas utiliser la technologie dans leurs activités normales

Du refus de conformité à la plainte pénale

Le 28 octobre 2025, l’association NOYB a déposé une plainte pénale contre Clearview AI en Autriche, invoquant l’article 84 du RGPD et les dispositions pénales du droit autrichien. Cette plainte vise Clearview AI et ses dirigeants pour des violations persistantes et répétées du droit européen de la protection des données, après des sanctions administratives ignorées par l’entreprise. 

« Contrairement aux violations du RGPD, les infractions pénales permettent également d’engager des actions à l’encontre des dirigeants et de recourir à l’ensemble des procédures pénales, y compris à l’échelle de l’Union européenne. C’est pour cette raison que NOYB a désormais déposé une plainte pénale auprès des procureurs autrichiens. En cas de succès, Clearview AI et ses dirigeants pourraient encourir des peines de prison et voir leur responsabilité personnelle engagée, en particulier lors de déplacements en Europe », conclut Max Schrems.