PimEyes et la DPA de Hambourg : noyb attaque l'inaction face à la reconnaissance faciale de masse

30/4/26
👈 les autres actualités

Depuis cinq ans, un moteur de recherche par reconnaissance faciale collecte illégalement des milliards de photos de personnes sur internet. L'autorité de protection des données de Hambourg le sait — et n'a rien fait. Noyb vient d'en saisir la justice.

Ce qui s'est passé

Le 30 avril 2026, noyb a déposé un recours en justice contre la Datenschutzbehörde Hamburg (DPA de Hambourg), l'autorité de protection des données compétente pour l'affaire PimEyes.

PimEyes est un moteur de recherche par reconnaissance faciale. La plateforme scrute en permanence internet pour constituer une base de données de milliards d'images. N'importe qui peut y télécharger la photo d'une personne pour retrouver toutes ses autres apparitions en ligne — moyennant abonnement. C'est le même modèle que Clearview AI, déjà condamné à plusieurs millions d'euros d'amendes RGPD en Europe.

La plainte initiale avait été déposée en juillet 2020 par une personne concernée qui voulait faire valoir ses droits d'accès et de suppression auprès de PimEyes. Après plus de cinq ans de procédure, la DPA de Hambourg n'a pris qu'une seule mesure : envoyer une « lettre d'information » à l'entreprise. Elle estime ne pas avoir à aller plus loin, au motif que PimEyes se présenterait aujourd'hui comme basée à Dubaï.

Problème : au fil des années, PimEyes a successivement prétendu être domiciliée en Pologne, aux Seychelles et au Belize. La DPA n'a jamais vérifié ces changements. Ce sont pourtant ces mêmes déclarations qui lui servent aujourd'hui à justifier son inaction.

Pourquoi c'est important

L'affaire PimEyes s'inscrit dans un débat structurel sur l'effectivité de l'application du RGPD par les autorités nationales. Noyb n'en est pas à sa première action contre une DPA pour inactivité — l'organisation de Max Schrems a déjà visé des régulateurs jugés trop passifs dans plusieurs États membres.

Les données biométriques — comme les images de visages utilisées pour la reconnaissance faciale — sont des données sensibles au sens du RGPD, soumises à un régime de protection renforcé. Leur traitement sans base légale claire et sans consentement constitue une violation grave du règlement. PimEyes traite des données biométriques de millions de personnes à leur insu, sans jamais avoir obtenu leur accord.

Face à un responsable de traitement établi hors de l'UE, le RGPD n'est pourtant pas impuissant. Les DPA disposent d'outils : geler des fonds européens de l'entreprise, mettre en demeure ses prestataires de services, ou agir directement contre ses dirigeants. La DPA de Hambourg n'a fait aucune de ces démarches.

Ce précédent résonne particulièrement après la décision de la HDPA grecque contre Smart Policing, qui a jugé illégal un programme de reconnaissance faciale à 4 M€ pour absence de base légale. Il rappelle aussi les enseignements de la condamnation de la France par la CJUE sur ses fichiers biométriques policiers, où le critère de nécessité stricte a été décisif.

Ce que ça change pour les organisations

Pour les DPO et responsables conformité, cette affaire comporte trois enseignements concrets.

La localisation d'un fournisseur ne l'exempte pas du RGPD. Le règlement s'applique à tout organisme qui cible des personnes situées dans l'UE, quelle que soit sa domiciliation. Un prestataire basé à Dubaï, aux Seychelles ou au Belize qui traite des données d'Européens reste soumis au RGPD. Vérifiez cela dans votre cartographie des sous-traitants.

Les données biométriques exigent une vigilance maximale. Tout traitement de données biométriques (reconnaissance faciale, empreintes) doit reposer sur l'une des bases légales strictement définies à l'article 9 du RGPD. Une analyse d'impact (AIPD) est obligatoire dans la quasi-totalité des cas. Si vous utilisez un outil SaaS d'analyse d'images ou de vidéosurveillance avec reconnaissance faciale, vérifiez sa conformité sans attendre.

Le droit à l'action efficace peut être invoqué contre une DPA. L'article 78 du RGPD garantit à toute personne le droit de saisir une juridiction si la DPA n'a pas traité sa plainte de façon adéquate. Noyb en fait une arme systémique. Cette pression judiciaire sur les régulateurs est appelée à s'intensifier. Pour aller plus loin sur la biométrie et l'IA, consultez pourquoi l'identification biométrique en temps réel reste interdite sous l'AI Act.

Ce que Leto pense de cette décision

L'affaire PimEyes illustre un paradoxe du RGPD : un règlement ambitieux, mais une application qui dépend de la volonté des DPA nationales. Quand une autorité renonce à agir parce qu'un contrevenant change de domiciliation sur son site web, c'est l'ensemble de la confiance dans le système réglementaire qui s'érode.

L'action de noyb est juridiquement fondée — et politiquement bienvenue. Elle force une question essentielle : les DPA ont-elles les moyens et la volonté d'agir contre les opérateurs extra-européens qui violent le RGPD depuis l'extérieur de l'UE ? La réponse de la juridiction allemande donnera un signal fort sur l'avenir de l'enforcement RGPD.

Sources : noyb — Communiqué du 30 avril 2026 · Procédure C042 (noyb)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026