Aujourd'hui, noyb a intenté une action en justice contre l'autorité de protection des données de Hambourg (DPA). L'autorité considère que les pratiques du moteur de recherche par reconnaissance faciale PimEyes sont illégales, mais elle refuse de prendre des mesures efficaces parce que l'entreprise semble être basée à Dubaï. PimEyes extrait systématiquement les données biométriques des images diffusées sur l'internet et les utilise pour constituer une base de données. Les utilisateurs peuvent télécharger des photos de personnes sur ce site web afin de trouver d'autres images de la même personne par le biais de la reconnaissance faciale. Le demandeur avait initialement déposé une plainte contre PimEyes auprès de la DPA de Hambourg en juillet 2020.
Contexte de PimEyes. PimEyes scrute en permanence l'internet pour collecter des visages dans une base de données. L'entreprise a déjà milliards d'imagesqui sont utilisées pour son moteur de recherche de reconnaissance faciale. Sur son site web, chacun peut identifier d'autres personnes en téléchargeant une photo d'elles. D'autres images de la même personne sont ensuite affichées, avec des liens vers les sources. Moyennant paiement, il est possible d'accéder à d'autres détails, tels que la probabilité qu'il s'agisse de la même personne. La technologie sous-jacente est basée sur la reconnaissance faciale, et donc sur l'analyse de données biométriques. À cet égard, PimEyes fonctionne de la même manière que l'entreprise américaine Clearview AI, qui a déjà été condamnée à des amendes de plusieurs millions d'euros déjà encouru des amendes se chiffrant en millions en raison de ses violations du GDPR.
Max Schrems, président du noyb: "La diffusion incontrôlée d'outils de reconnaissance faciale tels que PimEyes est désastreuse pour la vie privée : le harcèlement et la surveillance de masse de millions de personnes peuvent être effectués en quelques secondes. PimEyes a accumulé des milliards de données biométriques de personnes innocentes à leur insu et les met à la disposition de tous. Cette surveillance de masse de personnes privées est clairement illégale - et l'autorité de Hambourg le considère également comme tel"
Des années d'attente pour une "lettre d'information". Une personne concernée avait donc déjà déposé une plainte contre PimEyes en juillet 2020. L'autorité de protection des données de Hambourg chargée de cette affaire a mis plus de cinq ans à prendre une décision. Cependant, bien que l'autorité suppose que PimEyes a agi illégalement et aurait dû répondre à la demande d'accès et de suppression du plaignant, elle n'a pris aucune mesure : la DPA affirme que, mis à part l'envoi d'une "lettre d'information" à l'entreprise, elle n'a pas besoin de prendre des mesures concrètes pour empêcher une violation continue de la loi. Le raisonnement : PimEyes est basée à Dubaï et ne répond pas aux demandes de renseignements.
Au cours des cinq années de la procédure, PimEyes a prétendu être basé en Pologne, aux Seychelles et à Belize. Pourtant, les autorités de Hambourg n'ont apparemment jamais vérifié si les changements de localisation sur le site web étaient effectivement exacts. Pourtant, les autorités de Hambourg n'ont apparemment jamais vérifié si les changements de localisation sur le site web étaient exacts. Aujourd'hui, ces changements sont utilisés pour justifier leur inaction.
Jonas Breyer, l'avocat du plaignant : "Il est inquiétant que l'autorité ne tente même pas de prendre des mesures efficaces pour faire appliquer le GDPR - et que PimEyes soit ainsi en mesure de poursuivre ses pratiques clairement illégales sans entrave. L'autorité de contrôle de Hambourg signale une fois de plus que, même face à de graves violations du GDPR, elle reste les bras croisés et invite à des violations calculées de la loi"
Action en justice contre l'autorité. Le plaignant estime que l'autorité de protection des données de Hambourg devrait prendre des mesures efficaces contre PimEyes, ce qui est également possible dans le cas de contrôleurs de données de pays tiers. Il pourrait s'agir de geler des fonds en Europe, d'exiger des prestataires de services de PimEyes qu'ils suppriment des données, ou d'imposer des mesures directement au directeur général géorgien. Si l'action en justice aboutit, l'autorité devra réexaminer la plainte initiale et devra probablement prendre des mesures permettant d'obtenir une réparation efficace.
Felix Mikolasch, avocat spécialiste de la protection des données au noyb: "Au lieu de s'appuyer sur les coordonnées figurant sur le site web de PimEyes pour cesser de travailler sur l'affaire, l'autorité de contrôle de Hambourg devrait prendre des mesures efficaces à l'encontre de l'entreprise. Elle ne peut pas simplement mettre fin à son travail parce qu'elle spécule sur le fait que les mesures pourraient être infructueuses. Cette éventualité ne peut jamais être totalement exclue. D'autres autorités ont également imposé des amendes à l'entreprise américaine comparable Clearview AI"
Le plaignant est représenté par Jonas Breyer du cabinet Breyer Legal. noyb a représenté le demandeur dans la procédure devant l'autorité de protection des données de Hambourg et soutient la demande. Cette affaire est également soutenue par le Chaos Computer Club.
