Quelle est l’entreprise d’IA la plus détestée des régulateurs européens ? Un bon candidat serait assurément Clearview AI, une entreprise américaine spécialisée dans la reconnaissance faciale. Créée en 2017, la société a récolté plus de 60 milliards d’images de visages partout dans le monde selon elle, y compris en Europe, pour entraîner son algorithme de reconnaissance faciale.
Ses services ont été vendus aux forces de l’ordre partout dans le monde – de l’Immigration and Customs Enforcement aux États-Unis (la célèbre ICE, notoirement connue pour son rôle dans l’arrestation violente et la déportation des résidents sans-papiers et étrangers – et de temps en temps leurs propres citoyens), jusqu’au Canada. C’est aussi le cas avec des régimes plus autoritaires comme l’Arabie saoudite, les Émirats arabes unis, le Qatar et le Singapour. Son outil a même été utilisé par l’armée en Ukraine lors de l’invasion russe pour identifier les soldats russes – vivants ou morts. Mais ses services ont aussi été vendus à des organisations dans presque tous les pays de l’Union européenne, notamment en France.
Très vite la société a fait face à de nombreuses accusations de surveillance, violation des conditions d’utilisations d’autres services, et mauvais usage des données personnelles voire biométriques. Ce sont les géants des réseaux sociaux qui étaient les premiers à l’accuser de violation des conditions commerciales pour ses pratiques de scraping des images sans autorisation sur Twitter, YouTube et Facebook en janvier et février 2020. Cela faisait suite à plusieurs affaires liées au scraping, notamment hiQ Labs v. LinkedIn, déposée en Californie en 2017, dans laquelle LinkedIn a échoué à empêcher l’entreprise d’analyse de données de copier le contenu des profils publics de la plateforme. En termes d’actions menées par les états par rapport à la protection de la vie privée, c’est le Canada qui a réagi le premier, dès le début de 2021, avec une décision du Commissariat à la protection de la vie privée, suivi par l’Australie et le Royaume-Uni en novembre 2021, puis la France en décembre avec une demande de cesser la collecte et de supprimer les données collectées sans autorisation sur les internautes du pays.
Très rapidement, les amendes ont commencé à s’empiler : 7,5 millions de livres sterling par l’Information Commissioner’s Office britannique, 20 millions d’euros par la CNIL en France, 20 millions d’euros par l’autorité de protection des données personnelles en Italie, 20 millions d’euros par l’autorité grecque, 30,5 millions d’euros par l’autorité néerlandaise… Même aux États-Unis, une action collective a proposé d’attribuer 23% des parts de l’entreprise aux victimes.
Le problème ? Jusqu’à présent, Clearview AI a ignoré toute demande et n’a réglé aucune de ces amendes.
La seule action prise par la société a été la renonciation à la commercialisation de son logiciel aux entreprises privées en 2020 aux États-Unis.
Ce comportement (ou ce manque d’action) pose une question intéressante : que faire quand une société moderne, avec une clientèle mondiale, ignore les demandes des régulateurs – qu’elle les « ghostent » (anglicisme courant signifiant ignorer, ne pas répondre à un message) ?
En réalité, il est assez fréquent que des acteurs ne respectent ni les règles ni les décisions. Clearview n’est pas la seule dans le domaine du numérique. Souvent les acteurs emploient des méthodes plus subtiles, telles que celles baptisées « Reporter, réduire, détruire » (Delay, depress, destroy) par Jan Penfrat du réseau European Digital Rights, ou le « mépris ouvert » décrit par des membres du European Partnership for Democracy.
Tout en ignorant les fondements de la réglementation, plusieurs entreprises choisissent de s’engager à un niveau discursif et superficiel, en prétendant se conformer. Elles savent que les procédures éventuelles qui en résultent prendront des années, pendant lesquelles elles pourront continuer leurs pratiques ou les atténuer à la marge. Par exemple, un rapport d’Amnesty International publiée en octobre 2025 a montré que TikTok pose encore des risques majeurs pour la santé mentale des jeunes, presque trois ans après la mise en vigueur du Règlement européen sur les services numériques (DSA, Digital Services Act) en 2023 et deux ans après la publication d’un rapport initial par Amnesty qui avait révélé plusieurs infractions concernant la sécurité des jeunes sur la plateforme. Le nouveau rapport d’Amnesty, réalisé en collaboration avec l’Algorithmic Transparency Institute et intitulé « Entraîné.e.s dans le ‘rabbit hole’ », a utilisé une série de faux comptes d’adolescents de 13 ans. Il a fallu moins de 5 minutes d’utilisation pour que ces comptes se voient proposer des vidéos sur la tristesse ou le désenchantement. Simplement en les regardant, en moins de 20 minutes leurs fils d’information contenaient « presque exclusivement des vidéos sur la santé mentale, dont jusqu’à la moitié sur des contenus dépressifs. » Et en 45 minutes, des vidéos exprimant des pensées suicidaires étaient promues.
Instagram a également été sous le feu des critiques récemment pour son échec à atténuer ces risques pour les jeunes, lui permettant de prétendre à une conformité seulement en apparence. Arturo Béjar, ancien ingénieur chez Meta qui a depuis témoigné contre la société devant le Congrès américain, affirme que 64% des nouveaux outils proposés par Meta pour atténuer les risques pour les jeunes sont inefficaces, conçus dans un environnement manquant de transparence. Comme avec TikTok, Instagram a proposé et même promu du contenu relatif à l’automutilation, au suicide, aux troubles de comportement alimentaire et aux substances illégales. Les outils créés par Meta destinés à interdire l’accès aux moins de 13 ans et à aider les utilisateurs à réduire le temps passé sur la plateforme n’étaient pas fonctionnels. L’inefficacité de ces outils n’est pas surprenante, étant donné les modèles économiques des plateformes qui capitalisent sur les publicités ciblées en utilisant les données accumulées pendant que l’utilisateur scrolle.
Mais, même si ces mesures d’atténuation ne conviennent pas aux plateformes, elles restent des obligations légales. L’article 28 du DSA impose à toute plateforme accessible par des mineurs (moins de 18 ans) de « garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service. » Et pour celles désignées comme « très grandes plateformes en ligne », il y a des obligations supplémentaires d’évaluation et d’atténuation des risques par des mesures « raisonnables, proportionnées et efficaces ». Mais les obligations ne sont efficaces qu’à condition d’être appliquées à temps.
La Commission européenne a ouvert des enquêtes contre TikTok et Meta (concernant Instagram et Facebook) en février et avril 2024 respectivement, au sujet de leur conformité avec le DSA. À la fin d’octobre 2025, la Commission a conclu de manière préliminaire que les deux plateformes étaient en violation des règles concernant la modération du contenu et la transparence.
Cependant, cette décision, qui revient maintenant aux plateformes pour qu’elles répondent, est arrivée un an et huit mois après le début de l’enquête, et la situation reste pratiquement la même. Pendant ce temps, des campagnes menées par les parents d’enfants qui se sont suicidés – telles qu’AlgosVictima en France ou la fondation Molly Rose au Royaume-Uni – soulignent que les risques sont toujours là.
Une autre approche, adoptée par certaines entreprises et pas si différente, consiste à ignorer complètement les règlementations, sachant qu’un remède n’est qu’une possibilité à envisager qui s’appliquera plusieurs années plus tard. C’est ce que l’on constate par exemple avec les pratiques anti-concurrentielles comme les fusions d’entreprises et de services. Même si de telles pratiques semblent éloignées de nous, elles nous touchent tous avec leurs conséquences : elles réduisent les choix des utilisateurs et donc la concurrence. Par exemple, la Commission fédérale du commerce américaine a mené plusieurs enquêtes antitrust aux États-Unis à l’encontre des grandes entreprises de technologie afin d’examiner l’ouverture du champ aux tiers. Une affaire ouverte en 2020 contre Meta n’a été close que le 18 novembre 2025 – cinq ans plus tard – avec un jugement selon lequel Meta n’avait pas empêché la concurrence lors de ses rachats d’Instagram et de WhatsApp en 2012 et 2014 respectivement. Il a donc fallu 13 ans pour aboutir à une conclusion. Une procédure similaire contre Amazon, ouverte en 2023, est prévue d’arriver devant la cour en 2027. Même quand ces enquêtes parviennent à condamner une entreprise, comme celle ouverte contre Google par le Department of Justice aussi en 2020 et dont le jugement a été rendu en septembre 2025, les sanctions ne peuvent pas compenser le temps d’enquête. Dans ce dernier cas d’ailleurs, Google a convaincu un juge que le paysage des recherches en ligne avait déjà changé avec la popularisation des IA génératives, et donc a écopé d’une sanction bien plus légère que prévue.
Ces arguments de Google démontrent le fait que le paysage technologique change vite, un fait souligné par David McCabe et Steve Lohr dans le New York Times (« Technology Is Fast and the Courts Are Slow »). Mais c’est pour cette raison que les longs délais d’enquête sont problématiques : pendant ce temps, comme le pointe pertinemment le juriste Tim Wu, les entreprises dominantes capitalisent sur leur position dominante et les concurrents sont empêchés d’entrer sur le marché. La possibilité d’une décision éventuelle défavorable, qui pourrait imposer une sanction – elle-même potentiellement légère – plusieurs années plus tard, quand la situation aura probablement déjà changé, n’est pas une grande dissuasion. Surtout avec l’engouement actuel autour de l’IA, ces entreprises vivent pour demain, et non pour 2035. Enfin, comme le dit Wu, la relaxe de Meta sur le fait qu’elle ne détiendrait pas de monopole envoie un message catastrophique. Malgré une décennie de scandale, « aucune autorité publique de ce pays n’a été en mesure de demander des comptes à l’entreprise pour ses agissements ».
L’enjeu pour la régulation est donc de répondre assez vite pour protéger au mieux les utilisateurs, y compris les jeunes, tout en maintenant la qualité des enquêtes, qui prennent inévitablement du temps. Les mesures « omnibus » de simplification envisagées actuellement par la Commission européenne risquent de rendre encore plus incertaine l’application des règles, élargissant la zone grise de l’application. Plutôt que de déconstruire petit à petit des éléments spécifiques et techniques des réglementations existantes, il vaudrait mieux profiter de ce moment pour privilégier une réglementation qui aide à résoudre plus vite les questions substantielles – ou alternativement suspendre certaines pratiques contestées le temps que les enquêtes soient menées. Mobiliser les compétences internes des entreprises pour démontrer leur respect des règles de manière fondamentale — une approche qui a fait ses preuves dans la régulation des audits financiers, où les auditeurs sont tenus à établir que leurs rapports reflètent réellement la situation de l’entreprise et ne se contentent pas de se conformer en apparence — pourrait ouvrir une voie à suivre pour les régulateurs, tant nationaux qu’européens. Sinon, nous nous retrouverons dans dix ans pour la prochaine affaire contre une entreprise… sans que les choses n’aient changées d’ici là.
