Le 28 octobre 2025, l’organisation européenne NOYB (« None of Your Business ») a annoncé avoir déposé une plainte pénale en Autriche contre la société américaine Clearview AI. Le motif ? Une collecte massive de visages sur Internet, utilisée pour développer un système mondial de reconnaissance faciale. 

Clearview AI s’est fait connaître par son ambition démesurée : créer la base d’images de visages la plus vaste au monde. Selon Reuters, l’entreprise revendique plus de 60 milliards de photos extraites du web, issues notamment de réseaux sociaux, de blogs et de plateformes vidéo. Ces clichés servent à alimenter ses algorithmes de reconnaissance faciale, capables d’identifier un individu en quelques secondes à partir d’une simple photo.

Cette technologie intéresse particulièrement les forces de l’ordre et les entreprises de sécurité. Mais en Europe, elle soulève une série d’interrogations juridiques et éthiques. NOYB accuse Clearview AI d’avoir collecté ces images sans consentement et de traiter des données biométriques sensibles, ce que le Règlement général sur la protection des données (RGPD) encadre strictement. « Clearview AI semble ignorer les droits fondamentaux européens et crache au visage des autorités », a déclaré Max Schrems, fondateur de NOYB cité par The Record.

L’association rappelle que plusieurs autorités nationales — en France, en Italie, en Grèce et aux Pays-Bas — ont déjà condamné Clearview AI à des amendes pour des pratiques jugées illégales. Le total cumulé des sanctions est proche des 100 millions d’euros, mais aucune n’a encore été payée.

Jusqu’ici, les décisions rendues par les autorités européennes étaient de nature administrative. Elles imposaient à Clearview AI d’effacer les données collectées et d’arrêter ses activités en Europe. Or, faute de filiale ou de siège sur le continent, l’entreprise a pu ignorer ces injonctions sans réel risque.

NOYB a donc décidé de franchir une étape. Sa plainte, déposée à Vienne, s’appuie sur l’article 84 du RGPD et sur le § 63 du Data Protection Act autrichien, qui permettent de poursuivre pénalement les violations graves de la législation sur la protection des données. Cette fois, les dirigeants de Clearview AI pourraient être directement mis en cause.

L’objectif est double : contraindre l’entreprise à répondre de ses actes et rappeler que les règles européennes s’appliquent à tout acteur qui traite des données de résidents européens, même s’il est basé à l’étranger. NOYB souligne aussi que les amendes ne suffisent plus : « Les autorités n’ont pas trouvé le moyen d’appliquer leurs sanctions, ce qui permet à Clearview AI d’échapper à la loi », a indiqué l’ONG, citée par The Register

Le Règlement général sur la protection des données, en vigueur depuis 2018, est la pierre angulaire du modèle européen de protection de la vie privée. Il impose plusieurs principes : licéité du traitement, transparence, minimisation des données, et obligation d’obtenir un consentement clair pour tout usage de données sensibles.

Or, selon l’EDPB, Clearview AI enfreint plusieurs de ces règles :
    • Absence de base légale : les utilisateurs n’ont jamais autorisé la collecte de leurs images.
    • Finalité détournée : les photos publiées sur les réseaux ne peuvent être utilisées pour identifier des individus à d’autres fins.
    • Données sensibles : les visages constituent des données biométriques protégées par l’article 9 du RGPD.
    • Transferts internationaux : les données d’Européens sont stockées et traitées hors de l’Union, sans garanties suffisantes.

Ces violations répétées ont conduit plusieurs pays à interdire explicitement à Clearview AI de traiter les visages de leurs citoyens. Pourtant, selon CyberInsider, l’entreprise continue d’exploiter sa base mondiale pour des clients publics et privés, dont certains situés en Europe.

Coup de tonnerre pour Vinted, l’autorité lituanienne de protection des données vient de lui infliger une amende de 2,4 millions d’euros pour non-respect du RGPD. Cette décision fait suite à une série de plaintes déposées depuis 2020, principalement en France, son premier marché (23 millions d'utilisateurs). Comme l'indique le communiqué de la CNIL lithuanienne, la plateforme de seconde main en ligne n'aurait pas traité les demandes d'effacement des données personnelles de ses utilisateurs, aussi appelé droit à l'oubli, de manière « loyale » et « transparente ».

L'entreprise s'est en effet fait épingler pour avoir mis en place un système de « bannissement furtif » sans en informer ses utilisateurs, rendant ainsi leurs activités invisibles au lieu d'être définitivement supprimées. En plus de cela, Vinted n’a pas réussi à prouver qu’elle avait correctement répondu aux demandes d’accès aux données personnelles.

Vinted s'est empressée de contester la décision de la CNIL lituanienne. L'entreprise, dans un communiqué, a annoncé son intention de faire appel. Elle a par la même occasion souhaité rassurer ses utilisateurs en indiquant que : « les cas mentionnés par l’Autorité lituanienne de protection des données (VDAI) ne sont en aucun cas liés à la sécurité de leurs comptes et n’impliquent aucune utilisation abusive ni violation de leurs données personnelles ».

Une affaire qui rappelle l'importance pour les entreprises de bien respecter leurs obligations en matière de protection des données, ainsi que la nécessité pour ces dernières de se tenir informées des évolutions des règles afin de se conformer au RGPD. En cas de manquement, comme l'indique le site de la CNIL française, les sanctions prévues pour les entreprises vont d'un rappel à l'ordre à une amende pouvant aller jusqu'à 4% du chiffre d'affaires annuel de l'entreprise, voire à son bannissement temporaire voire définitif du traitement, ainsi que la suspension du flux des données.

C’est un comble. Le patron et fondateur de Facebook, Mark Zuckerberg appelle à une meilleure réglementation d’internet. Alors que sa société a défrayé a chronique internationale pour l’utilisation des données des utilisateurs, voilà qu’il appelle son gouvernement à mieux réguler les contenus problématiques, les manipulations d’opinions ou le traitement des données confidentielles.

« Cette semaine, le patron de Facebook  a expliqué son point de vue dans un article op-ed publié sur le Washington Post. “Je crois que les gouvernements et les régulateurs doivent jouer un rôle plus actif. En mettant à jour les règles pour Internet, nous pouvons préserver ce qu’il y a de mieux – la liberté des personnes de s’exprimer et celle des entrepreneurs de construire de nouvelles choses – tout en protégeant la société contre des torts graves”, écrit Zuckerberg. Par exemple, en ce qui concerne les contenus préjudiciables, le patron de Facebook explique que les régulateurs pourraient définir les lignes de base de ce qui est interdit, et requérir aux entreprises de mettre en place des dispositifs pour limiter ces contenus. En ce qui concerne les élections, Mark Zuckerberg indique que les dispositifs que Facebook a mis en place seraient plus efficaces si les régulateurs mettaient en place un standard commun pour vérifier les acteurs politiques » nous apprend Presse Citron.

Zuckerberg en profite d’ailleurs pour faire la louange du RGPD européen. « Partout dans le monde, les citoyens ont appelé à une réglementation complète de la protection de la vie privée conforme au règlement général de l’Union européenne sur la protection des données, et je suis d’accord avec cette idée. Je pense qu’il serait bon pour Internet que davantage de pays adoptent une réglementation telle que le GDPR en tant que cadre commun »  assure-t-il.

A première vue hypocrite, cette déclaration apparait ensuite rapidement dans l’intérêt du groupe. Car si les scandale se sont répétés, la groupe a navigué à vue dans un domaine où tout a semblé permis pendant des années.