Les limites juridiques du moissonnage biométrique à l'ère du numérique : étude comparée de la jurisprudence française et britannique relative à Clearview AI

Par Cassandre Roger

 

Une photo sur les réseaux sociaux est-elle une donnée publique libre de droits ? Pour les régulateurs français et britanniques, la réponse est un non catégorique. En effet, en requalifiant le moissonnage massif en suivi du comportement et en rejetant l'argument de la courtoisie internationale, la jurisprudence Clearview AI marque la fin de l'impunité pour les entreprises étrangères opérant avec des États tiers sous prétexte de protection nationale.

 

Web-scraping, suivi de comportement.

 

À l’ère de l’intelligence artificielle (IA) et du développement des systèmes d’IA (SIA), de nombreuses entreprises telles que KASPR, Palantir Technologies et Clearview AI traitent massivement des données à caractère personnel. Certaines justifient leurs pratiques par la nature prétendument légitime de leurs activités, notamment lorsqu’il est question de commercialisation auprès d’autorités gouvernementales.   

Ainsi, une question centrale se pose : Une entreprise peut-elle collecter, via le web-scraping (autrement dit « moissonnage de données »), des photographies librement accessibles en ligne afin de constituer une base de données biométriques, sans le consentement des personnes concernées ? Cette pratique met en exergue les limites du règlement général sur la protection des données (RGPD)[1] face à des acteurs globaux, opérant en dehors du territoire européen, autant qu'elle questionne le règlement IA[2].  

Cette étude se concentre sur la jurisprudence relative à Clearview AI (ci-après « la Société »), une entreprise américaine condamnée par plusieurs autorités européennes pour violation du RGPD ainsi que du UK GDPR[3], instrument équivalent en droit britannique. À l’aide d’une technologie de reconnaissance faciale (web-scraping), elle collecte et stocke plus de vingt milliards d’images issues d’Internet afin de créer une base de données biométriques. Le but étant de commercialiser l’accès à une plateforme en ligne auprès d’États tiers à des fins de surveillance sans consentement.

L'analyse comparative des positions française et britannique concernant la légalité de cette pratique est particulièrement intéressante dans la mesure où elles ne reposaient pas initialement sur la même interprétation. Alors que la CNIL a retenu une lecture extensive du règlement afin de protéger les droits fondamentaux, le Royaume-Uni a initialement privilégié une interprétation littérale de la notion de suivi de comportement, créant ainsi une faille dans l’effectivité de la protection à l’échelle européenne, que le revirement britannique de 2025 est venu combler.

Cette comparaison permet ainsi d'évaluer la portée extraterritoriale des deux législations, les limites des exceptions invoquées par les entreprises privées et la nécessité d'une coopération internationale renforcée pour garantir l'efficacité de la protection des données personnelles à l'ère numérique.

 

I – L’interdiction du moissonnage biométrique et le contrôle des entreprises situées hors de l’Union Européenne

 

En vertu des législations européenne et britannique, le web-scraping massif est interdit sur la base de deux piliers juridiques. D’une part, les régulateurs se reposent sur la licéité du traitement, à partir d’une requalification en donnée biométrique sensible (A). Puis, ils étendent leur compétence territoriale aux infractions commises par des entreprises étrangères à l’aide du concept de « suivi de comportement », empêchant ainsi toute impunité liée à l'absence d'établissement sur le sol européen (B).

 

A – Une convergence des autorités quant à l’illicéité du traitement des données à caractère sensible

Les régulateurs français et anglais ont basé leur raisonnement sur la requalification technique d’une photographie. Au regard des deux législations sur la protection des données personnelles, une image est considérée comme une donnée personnelle, mais l’aspiration massive de photographies pour générer des gabarits (ou « templates ») convertit ces informations en données biométriques sensibles, dont le traitement est interdit per se. Ainsi, une photographie disponible en ligne ne devient pas une donnée libre de droits sous prétexte qu’elle est techniquement accessible. En effet, le traitement de données à caractère sensible nécessite un consentement explicite, ce que le moissonnage massif ne peut satisfaire étant de nature non-consensuel, rendant ainsi cette action intrinsèquement illicite.

Le passage de l’image dite publique car librement accessible sur les réseaux sociaux, à une donnée biométrique, transforme les moteurs de recherche comme Google en outils de surveillance. Une libre accessibilité de l’image ne permet pas sa réutilisation sans limites, notamment pour alimenter des logiciels de reconnaissance faciale destinés aux forces de l’ordre. La jurisprudence de Clearview AI met en évidence le fait que les victimes n’avaient aucune attente raisonnable à ce que leurs photos alimentent ce moteur de recherche biométrique. Cela fut confirmé et renforcé dans l’affaire Kaspr[4], où la CNIL a précisé qu’il fallait également vérifier si l’utilisateur avait manifesté une volonté de limiter l’accès à ses données personnelles.

Cependant, malgré cette vision protectrice, la notion d’attente raisonnable n’a pas été clairement définie par le législateur, créant ainsi une insécurité juridique pour les entreprises exploitant des SIA. En son considérant 47, le RGPD donne une définition fonctionnelle de la notion, à ce qu’elle permette de déterminer si l'individu pouvait prévoir, au moment de la collecte et en fonction de sa relation avec le responsable de traitement, que ses données feraient l'objet d'un traitement ultérieur. Pour les régulateurs, cette évaluation dépend de critères factuels tels que la nature du site source, ou encore le respect par l'entreprise des mesures techniques bloquantes comme les CAPTCHA[5].

En effet, l’analyse reste subjective et difficile à anticiper sur un réseau mondial, où le droit international ne propose pas de cadre normatif global et harmonisé. Ainsi, l’efficacité du RGPD s’avère limitée, liée au fait que les entreprises refusent de supprimer les données malgré les injonctions, notamment parce qu’elles ne peuvent pas identifier le pays de résidence des individus.

Enfin, dans ses recommandations de juin 2025[6], la CNIL accepte l’intérêt légitime lorsque cela concerne le développement et l’entraînement des SIA, mais avec des garanties fortes comme un objectif légitime et un traitement nécessaire et proportionné. Cela démontre que les régulateurs européens s’adaptent à l’ère de l’IA, tout en restant fondamentalement protecteurs lorsqu’il s’agit de données biométriques des citoyens.

 

B – Le suivi de comportement : un outil permettant la sanction hors Union Européenne

Clearview AI ne s’est pas estimée concernée par les actions engagées par la CNIL et l’ICO, soutenant qu’elle ne commercialisait pas ses services au sein des États de l’UE, mais uniquement aux États-Unis et dans certains États d’Amérique latine. Selon cet argument, les régulateurs européens ne pourraient agir à l’encontre d’une société privée étrangère dont les activités ne relèveraient pas du champ d’application territorial des règlements. Toutefois, compte tenu du volume de données collectées et de l’absence de limitation géographique dans leur collecte, notamment à partir de réseaux sociaux mondiaux, il était inévitable que des données relatives à des résidents européens et britanniques figurent dans la base de données de la société. Dès lors, les juridictions ont été jugés compétentes et les législations applicables.

De plus, au regard de l’article 3(2)(b) du RGPD, un responsable de traitement établi hors de l’UE est soumis au règlement si son activité de web-scraping de données biométriques est qualifiée de « suivi du comportement ». Conformément au Considérant 24, ce suivi est caractérisé dès lors que des personnes sont tracées sur internet en vue d'un profilage permettant d'analyser ou de prédire leurs préférences et comportements.

Contrairement à l’approche française, plus protectrice et extensive, la juridiction britannique avait estimé en 2023 que l’indexation mathématique automatisée d’une société ne constituait pas en soi un suivi de comportement, car elle ne relevait pas d’une surveillance humaine active. Toutefois, en 2025, l’Upper Tribunal adopte une interprétation plus large, convergeant avec la CNIL, et précise que le suivi de comportement ne requiert pas une surveillance humaine active. Ainsi, la collecte automatisée, passive, ainsi que le tri et le stockage de données, sont compris dès lors qu’ils permettent un profilage ultérieur.

Cette interprétation extensive des régulateurs britannique et français apparaît comme la seule manière de sanctionner ce type de web scraping et de protéger les personnes, y compris lorsque le responsable de traitement affirme que les données ne sont pas exploitées immédiatement ou qu’elles n’impliquent aucune interaction directe avec les personnes concernées. Elle comble ainsi une faille potentielle qui permettrait aux sociétés privées d’externaliser la surveillance de masse et le profilage des citoyens pour échapper aux sanctions prévues par le RGPD et le UK GDPR.

Enfin, le règlement IA interdit explicitement certaines formes de moissonnage non ciblé de photographies sur Internet ou de séquences CCTV, lorsque celui-ci sert à créer ou à développer des bases de données biométrique, dites de reconnaissance faciale. En effet, cette collecte automatisée et indiscriminée devrait être interdite car cela renforce les techniques de surveillance de masse, pouvant aboutir à des violations aux Droits fondamentaux tels que le Droit au respect de la vie privée.

Ainsi, ensemble, les deux instruments sur la protection des données personnelles et l’AI Act apportent une double rigidité en sanctionnant la pratique pour des raisons de défaut de base légale, de l’atteinte à la vie privée et les risques pouvant être engendrés.

 

II – Le rejet de l'exception régalienne: précurseur d’une coopération internationale nécessaire à l’ère du numérique

 

L'efficacité des régulations repose désormais sur la capacité des autorités à neutraliser les stratégies de défense des acteurs globaux. Si le rejet de l’exception souveraine empêche les entreprises privées de s'abriter derrière la sécurité nationale d'États tiers (A), la résistance de ces sociétés face aux sanctions nationales requiert une coopération internationale accrue (B).

 

A – La mise à l’écart de l’exception tenant à l’inapplicabilité du RGPD à l’égard des entreprises privées

Clearview AI a tenté de se prévaloir des fonctions régaliennes de ses clients, en lien avec les missions de sécurité nationale et d’application de la loi pénale, afin de s’en servir comme bouclier juridique pour échapper à l’application du RGPD et du UK GDPR. Elle soutenait notamment que la commercialisation de son moteur de recherche à des gouvernements étrangers, tels que le Panama et le Mexique, était inextricablement liée à des missions régaliennes et relevait donc d’une exclusion du champ d’application du droit européen.

Dans un premier temps, le First-tier Tribunal (Royaume-Uni) avait donné raison à la société, créant ainsi une brèche juridique selon laquelle des entreprises privées pouvaient bénéficier indirectement de l’immunité souveraine et porter atteinte à la protection des données personnelles dès lors qu’elles étaient considérées comme des agents d’États tiers. Toutefois, l’Upper Tribunal a par la suite rectifié sa position et converge avec l’interprétation stricte et restrictive de la CNIL, en jugeant que cette exception s’applique uniquement aux autorités compétentes des États membres de l’UE, et non aux acteurs commerciaux privés autonomes.

De plus, Clearview AI a invoqué le principe de courtoisie internationale dite « comity », pour tenter de s’exonérer de ses obligations de protection des données. La Société soutenait qu'une sanction européenne constituerait une ingérence indirecte et une atteinte grave à la souveraineté des États étrangers. Elle affirmait que cela reviendrait également à contraindre ces gouvernements à modifier leurs méthodes d’enquête criminelle.

Toutefois, les juridictions françaises et britanniques ont écarté ce raisonnement au profit d'une application rigoureuse du droit visant à éliminer toute zone d'impunité où des entreprises privées pourraient s'exempter de leurs responsabilités. La CNIL a ainsi affirmé que la constitution de cette base de données biométriques mondiale est une activité commerciale autonome, menée indépendamment de l’identité ou de la fonction souveraine du client final. De son côté, le Royaume-Uni s’est aligné avec le régulateur français en 2025 en confirmant que Clearview AI n’était ni un État, ni le préposé ou l’agent de ces États.

Enfin, l’efficacité des décisions françaises et britanniques peut s’avérer douteuse du fait que les sociétés peuvent refuser de coopérer, ou en modifiant leur statut vis-à-vis de leurs clients finaux.

Seule l’autorité française parmi les autres autorités ayant engagé des poursuites contre la Société, a mis en place une astreinte journalière, un moyen de coercition renforcé, permettant d’augmenter la pression sur les responsables de traitement, tout en donnant davantage d’impact à sa décision.

 

B – Une coopération internationale indispensable face à des acteurs globaux

Dans ce contexte de « Big Data » avec l’usage de SIA, la collecte, le stockage et le partage de données personnelles s’opèrent à l’échelle mondiale, ce qui limite l’efficacité des frontières nationales. Comme le souligne le Commissaire à l’Information britannique, John Edwards, il est nécessaire que la loi soit mise en œuvre à l’international afin d’éviter que des entreprises étrangères ne profitent de zones nationales d’impunité.

Cette démarche commune est essentielle pour garantir les droits fondamentaux, répondre aux enjeux numériques en constante évolution et protéger les citoyens contre des activités intrusives menées depuis l’étranger. En effet, même si Clearview AI est supposée supprimer les données actuelles des citoyens européens, leur sécurité demeure limitée, car la collecte continue d’être autorisée et effectuée depuis les États-Unis à destination d’États tiers.

Seul le régulateur britannique a fait usage de ce cadre collaboratif contre Clearview AI en effectuant une enquête conjointe avec l’autorité australienne, conformément à leur législation respective. De grande efficacité, leur action a permis de renforcer la base de preuves à l’égard de la Société à une échelle internationale.

Cette coopération peut être facilitée par des protocoles d’accords comme le Memoranda of Understanding, ainsi que par l’Arrangement de coopération mondiale pour l’application transfrontalière de la protection de la vie privée sous l’égide de l’Assemblée mondiale pour la protection de la vie privée dont fait partie la CNIL[7]. Ces mécanismes permettent la mise en place d’actions coordonnées et l’application simultanée de plusieurs cadres juridiques nationaux. L’AMVP, notamment par l’intermédiaire de son Groupe de travail sur la coopération internationale en matière d’application de la loi (GTCIAL), a identifié la technologie de reconnaissance faciale comme un sujet prioritaire de collaboration. Enfin, c’est en 2024 qu’une déclaration commune mondiale, réunissant une quinzaine d’autorités dont le Royaume-Uni, a émis des lignes directrices à l’attention des plateformes utilisant des SIA, afin de lutter contre le data-scraping illégal.

L’enjeu majeur est de créer un véritable « level playing field » en coordonnant les sanctions et les stratégies de contrôle afin d’empêcher toute instrumentalisation des frontières nationales. La décision de 2025 ayant été renvoyée devant le tribunal de première instance afin de juger le fond, l’autorité britannique pourrait s’aligner sur la sanction française, en ajoutant une astreinte afin que celle-ci ait davantage d’impact.

 

 

 

Bibliographie:

 

Législation:

- Data Protection Act 2018

- Loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés »

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, art. 5, §1, e), cons. 43.

- UK General Data Protection Regulation, tel que modifié par les Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019

 

Décisions de justice:

- Information Commissioner’s Office (UK), 23 mai 2022

- CNIL, Sanction, Délibération SAN-2022-019 du 17 octobre 2022

- Clearview AI Inc v Information Commissioner [2023] UKFTT 00819 (GRC)

- The Information Commissioner v Clearview AI Incorporated & Privacy International [2025] UKUT 319 (AAC), Appeal No. UA-2024-001563-GIA

- CNIL, Délibération de la formation restreinte n° SAN-2024-020 du 5 décembre 2024 concernant la société KASPR, disponible sur : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050791828

 

 

Ouvrages en français:

- CNIL, Le Commissaire à la protection de la vie privée du Canada et la CNIL ont signé une déclaration de coopération, 30 janvier 2026, disponible sur https://www.cnil.fr/fr/cooperation-commissaire-la-protection-de-la-vie-privee-du-canada-et-la-cnil

- CNIL, La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping), 19 juin 2025, disponible sur https://www.cnil.fr/fr/focus-interet-legitime-collecte-par-moissonnage

- Debora Cohen, Le moissonnage (web scraping) à des fins de développement de systèmes d’intelligence artificielle : que dit la Cnil ? Village de la Justice (24 juillet 2025) https://www.village-justice.com/articles/moissonnage-web-scraping-des-fins-developpement-systemes intelligence,53903.html consulté le 23 janvier 2025

- Lamy Droit du Numérique, Partie 4, Titre 5, Chapitre 2, Section 1, § 1, Principes relatifs à tout traitement de données personnelles : Comment déterminer la base juridique applicable à un traitement de données personnelles ?

- Lorraine Maisnier‑Boché et Julie Favreau, La protection des données personnelles prend‑elle de vitesse le règlement sur l’IA ?, Atelier ADIJ – Protection des données personnelles, McDermott Will & Emery AARPI / Université Panthéon‑Assas et Université Paris‑Cité

- Lorraine Maisnier‑Boché, Collecte massive de photographies sur Internet aux fins de reconnaissance faciale – Clearview AI lourdement sanctionnée pour la quatrième fois en Europe, Communication Commerce électronique, n°12, décembre 2022, comm. 87.

 

 

Ouvrages en anglais:

- Levantino, Francesco Paolo, "Ready or not, [A]I come[s]": Web scraping vs extraterritoriality in the ChatGPT and Clearview AI sagas, a tale on Digital Constitutionalism (October 11, 2023). Available at SSRN: https://ssrn.com/abstract=5248321 or http://dx.doi.org/10.2139/ssrn.5248321

- Solove, D.J. and Hartzog, W., 2025. The Great Scrape: The clash between scraping and privacy. Cal. L. Rev., 113, p.1521.

- Won‑Kyung Jung et Hunyeong Kwon, Privacy and data protection regulations for AI using publicly available data: Clearview AI case, ICEGOV 2024: 17th International Conference on Theory and Practice of Electronic Governance (Pretoria, 1‑4 Octobre 2024) https://dl.acm.org/doi/10.1145/3680127.3680200