Depuis fin décembre 2025, des milliers d’utilisateurs sur X demandent à Grok, l’IA d’Elon Musk, de générer des images de femmes déshabillées, sans leur consentement. Malgré un cadre juridique encore flou, des recours existent pour se protéger.
Faut-il desserrer l'étau autour du numérique en Europe ? Bruxelles lance un grand chantier sur la question, avec des propositions visant à simplifier plusieurs aspects de certaines grandes réglementations, comme le RGPD et l'AI Act. Avec, en ligne de mire, le souhait de retrouver le chemin de la compétitivité et de l'innovation.
L’AI Act de l’UE entre dans une nouvelle phase ! La Commission européenne vient de sortir le code de bonnes pratiques adressé aux IA généralistes.
Saviez-vous que les fournisseurs d’IA doivent, eux aussi, respecter la loi ? Comme toutes les entreprises, ils ne sont pas au-dessus des réglementation. Les géants de l’IA vont en effet devoir se plier aux règles de l’AI Act. Ainsi, pour les aider à s’y retrouver dans ce dédale juridique, Bruxelles vient de publier un code de bonnes pratiques. Un guide précieux pour comprendre ce qu’il faut faire, et surtout ce qu’il ne faut plus faire.
Les entreprises d’IA génératives peuvent enfin mettre la main sur le code de bonnes pratiques dédié aux modèles dits « généralistes ». Prévu pour mai, il n’est arrivé que jeudi 10 juillet. Mais mieux vaut tard que jamais !
Ce guide rédigé par des experts leur sera bien utile. Il explique noir sur blanc toutes les nouvelles règles à suivre à partir du 2 août prochain. En effet, toutes les boîtes qui développent des IA vont devoir se mettre en conformité avec l’AI Act de l’UE. Parmi elles, ChatGPT, Claude, Gemini ou encore Copilot de Microsoft.
Les fournisseurs d’IA « disposeront ainsi d’une voie claire et collaborative pour se conformer à la loi européenne sur l’IA », comme le souligne Henna Virkkunen, la Commissaire européenne chargée de la souveraineté technologique dans un communiqué. Le but est que ces outils « soient non seulement innovants, mais aussi sûrs et transparents »,
Signer le code n’est pas obligatoire. Du moins, pas encore. Les entreprises peuvent choisir d’adhérer ou non. Pourtant, celles qui joueront le jeu auront des avantages concrets.
« Les signataires du code bénéficieront d’une charge administrative réduite et d’une sécurité juridique accrue par rapport aux fournisseurs qui prouvent leur conformité par d’autres moyens » a déclaré l’exécutif.
Au-delà de la sécurité et de la transparence, le droit d’auteur reste un des points sensibles. Évidemment, il crée des tensions, surtout entre les créateurs et les entreprises qui développent de l’IA. On l’a d’ailleurs déjà vu dans des cas concrets, comme Midjourney accusé d’avoir utilisé des images Disney sans autorisation.
Les règles de l’AI Act de l’UE interdisent donc aux géants de l’IA d’utiliser des contenus ou sites qui enfreignent le droit d’auteur. Ces données devront être exclues de l’entraînement. Nous aurons bientôt la liste de ces sites.
À part cela, il y a aussi les données aspirées sur Internet pour entraîner les IA. En théorie, les entreprises d’IA peuvent récupérer presque tout ce qu’elles trouvent sur le Web. Même des contenus protégés par le droit d’auteur. C’est possible grâce à une vieille règle européenne de 2019 appelée text and data mining(TDM).
Attention, il existe un droit de refus. Les auteurs peuvent dire non. C’est ce qu’on appelle le opt-out. En France, plusieurs sites ont déjà mis en place un système pour bloquer les robots d’IA.
En somme, il est clair que l’Europe veut encadrer le domaine de l’IA. Reste à savoir si l’entrée en vigueur de l’AI Act de l’UE changera quelque chose dans la façon dont nous utiliserons ces outils.
Cet article AI Act : l’UE publie un mode d’emploi de la loi IA pour les entreprises a été publié sur LEBIGDATA.FR.
Toutes vos données publiques sur Instagram et Facebook vont servir à Meta pour entraîner son IA. Cette nouvelle politique doit être lancée à partir du 27 mai 2025. Cependant, les internautes peuvent s'opposer à ce traitement de leurs données personnelles. Avec, toutefois, certaines limites.
L’autorité irlandaise de protection des données a ouvert une enquête sur l’utilisation de données publiques d’utilisateurs européens disponibles sur le réseau social X à des fins d’entraînement de la famille de LLM Grok. L’enquête portera notamment sur le respect des principes de licéité et de transparence prévus par le RGPD.
Sous quelles conditions X a-t-elle développé les modèles Grok ? C’est la question que soulève la Data Protection Commission (DPC), l’homologue irlandais de la CNIL. Ce vendredi 11 avril, cette autorité a annoncé l’ouverture d’une enquête visant X Internet Unlimited Company (XIUC), la branche européenne de l’entreprise X qui n’est autre que le propriétaire du réseau social éponyme, anciennement Twitter.
La question de l’origine des données utilisées pour entraîner les modèles d’IA est au cœur des préoccupations réglementaires.
En effet, en février dernier, l’autorité canadienne de protection des données a ouvert une enquête sur la plateforme X.
Celle-ci vise à vérifier la conformité de l’entreprise avec la législation fédérale qui encadre la collecte, l’utilisation et la communication des renseignements personnels des citoyens canadiens.
Dans un communiqué, la DPC précise que l’enquête concerne « les données personnelles incluses dans les publications accessibles au public mises en ligne sur la plateforme X par les utilisateurs » de l’Union européenne et de l’Espace économique européen.
Des préoccupations similaires ont déjà entraîné des retards de déploiement en Europe. Pour rappel, l’autorité irlandaise avait interdit l’assistant Meta AI en juin 2024, avant que Meta ne le lance finalement en mars dernier.
Meta avait alors affirmé ne pas avoir utilisé les données de ses réseaux sociaux pour entraîner son chatbot.
Développée par xAI, la famille de modèles Grok alimente le chatbot génératif accessible sur le réseau social X.
Les utilisateurs peuvent interagir avec Grok depuis un onglet dédié ou obtenir des résumés générés par l’IA sous les publications d’autres internautes.
Depuis décembre 2024, le système va encore plus loin. En fait, il est capable de générer automatiquement de courtes biographies pour n’importe quel compte, et ce, sans qu’on ne le sollicite au préalable.
?ref_src=twsrc%5Etfw">April 15, 2025I respect your privacy and won't access your posts unless you explicitly mention me and ask for help. You can opt out of AI training on X by going to Settings > Privacy and safety > Data sharing and personalization > Grok, and toggling it off. Note that past posts might still be… pic.twitter.com/ZS9DtOfDsH
— Grok (@grok)
Néanmoins, il reste un point crucial qui n’est pas clair. Grok a-t-il traité des données personnelles issues de publications publiques sans le consentement des personnes concernées ?
C’est précisément ce que souhaite éclaircir l’autorité irlandaise de protection des données (DPC). « Cette enquête vise à déterminer si X a traité légalement ces données personnelles pour entraîner les modèles Grok, » a-t-elle déclaré.
En cas d’infraction au RGPD, X Internet Unlimited Company risque une amende pouvant atteindre 4 % de son chiffre d’affaires annuel.
Pour l’heure, ni l’entreprise ni Elon Musk n’ont réagi publiquement face à cette décision. Seul Grok a tenté de rassurer un utilisateur. « Je n’accéderai pas à votre publication à moins que vous ne me mentionnez explicitement, » a-t-il affirmé.
Alors, quel est votre avis ? Partagez-le dans les commentaires !
Cet article Elon Musk accusé de viol du RGPD : l’IA Grok bientôt interdite en France ? a été publié sur LEBIGDATA.FR.
Tout ce que direz sur Facebook pourra servir à entraîner l'IA de Facebook. Voilà en somme ce que Meta, la maison mère du réseau social, prévoit pour l'Europe. L'entreprise désire utiliser les données publiques de ses membres pour entraîner ses modèles d'IA générative. Mais il sera possible de dire non.
De nouveaux nuages noirs s'amoncellent au-dessus de la tête d'Elon Musk, le propriétaire de l'entreprise xAI. L'équivalent irlandais de la CNIL a ouvert une enquête sur la manière dont le chatbot de xAI, Grok, a été entraîné. Des infractions au RGPD européen sont suspectées.
Meta accélère le déploiement de son IA en Europe. Plus d’un an après son lancement aux États-Unis, Meta AI arrive enfin dans 41 pays européens, dont la France.
Dès le 20 mars, cet assistant sera intégré aux principales applications du groupe comme Instagram, WhatsApp, Facebook et Messenger.
Cependant, les utilisateurs européens n’auront pas accès aux mêmes fonctionnalités que leurs homologues américains. Contrairement aux États-Unis, où Meta AI permet de générer et modifier des images ou encore d’analyser des photos, l’Europe se contentera d’un agent conversationnel. Ce dernier servira principalement à répondre aux questions, suggérer des idées ou aider à organiser des projets. Il sera accessible via une icône en forme de cercle bleu présente dans les applications du groupe. Sur WhatsApp, les utilisateurs pourront interagir avec l’IA en mentionnant « @MetaAI » dans leurs discussions de groupe.
L’arrivée tardive de Meta AI en Europe s’explique par des contraintes légales strictes. Meta affirme avoir dû composer avec un cadre réglementaire complexe, notamment à cause du RGPD. Ce règlement encadre l’usage des données personnelles, tout comme les nouvelles législations européennes sur l’IA et les marchés numériques. Ces régulations ont contraint l’entreprise à ajuster son IA pour le marché européen.
Contrairement à la version américaine, Meta AI en Europe n’a pas été entraîné sur les données des utilisateurs. Cette précaution explique pourquoi certaines fonctionnalités restent inaccessibles. Ce retard n’a pas été bien accueilli par Mark Zuckerberg, qui a dénoncé un cadre réglementaire européen trop fragmenté et contraignant.
Meta AI ne se limite pas à une simple expérimentation. Mark Zuckerberg ambitionne d’atteindre un milliard d’utilisateurs d’ici la fin de l’année. Lors de la présentation des résultats de Meta en janvier, il a insisté sur l’importance d’atteindre une adoption massive pour asseoir la domination de l’assistant IA.
Aujourd’hui, Meta AI revendique déjà 700 millions d’utilisateurs actifs chaque mois. L’entreprise espère que son intégration à Instagram, WhatsApp et Messenger lui permettra de s’imposer rapidement face à ses concurrents. Aux États-Unis, Meta prévoit d’ailleurs de transformer son IA en une application autonome. De ce fait, elle serait capable de rivaliser directement avec ChatGPT, Gemini de Google et Claude d’Anthropic.
Pour soutenir son développement, Meta prévoit d’injecter entre 60 et 65 milliards de dollars en 2025. Une partie importante de cet investissement servira à financer des centres de données, des serveurs et des infrastructures de réseau. L’objectif est clair : renforcer les performances de Meta AI et l’intégrer profondément dans les habitudes numériques des utilisateurs.
Cet effort financier démontre à quel point l’IA est devenue une priorité stratégique pour l’entreprise. Meta veut faire de son assistant un outil indispensable, qui s’impose progressivement dans le quotidien des internautes.
L’arrivée de Meta AI en Europe soulève plusieurs questions. Son déploiement limité empêchera-t-il l’IA de convaincre les utilisateurs ? L’assistant pourra-t-il s’imposer face aux outils déjà bien installés ? La réglementation européenne influencera-t-elle l’évolution de l’IA sur le continent ?
Si Meta parvient à dépasser ces obstacles, son assistant pourrait bien transformer l’expérience des utilisateurs sur les plateformes du groupe. Mais pour l’instant, les Européens devront se contenter d’une version allégée, en attendant de possibles évolutions.
Cet article L’IA de Meta arrive en Europe : voici ce qu’elle peut (et ne peut pas) faire a été publié sur LEBIGDATA.FR.
Le Chat de Mistral AI, tout comme ChatGPT et Google Gemini, utilise votre adresse IP pour localiser votre position. Sans en détailler le processus. Rien de nouveau puisque des centaines de millions sites reproduisent cette pratique, ajustant leurs services en fonction de votre emplacement. Quel est le problème avec Mistral, alors ?
Disponible au grand public depuis quelques jours, DeepSeek est déjà interdit en Italie. On ignore pourquoi il n'y est plus accessible, mais tout porte à croire que la CNIL italienne en soit à l'origine. En cause : la gestion des données personnelles de DeepSeek.
Accusé d'exploiter les données personnelles des ses utilisateurs européens pour former son IA, X, la plateforme d'Elon Musk a enfin cédé !
X, anciennement Twitter, a promis de ne plus utiliser les données personnelles de ses utilisateurs européens pour entraîner son IA. Pourquoi maintenant ? Apparemment, 8 pays européens ont porté plainte contre ce réseau social d'Elon Musk. La décision a été prise depuis début Août. Cette dernière a été confirmée par la Commission irlandaise pour la Protection des Données (DPC) le 4 septembre.
Saviez-vous que depuis le 7 mai jusqu'au 1er août 2024, X exploitait les données personnelles de ses utilisateurs européens ? Et ce dans l'unique but de former son IA, Grok. Selon un décompte de l'association autrichienne Noyb, cette pratique « illégale » avait suscité des plaintes dans huit pays européens. Rien d'étonnant !
Heureusement, la Commission irlandaise pour la Protection des Données (DPC) a agi pour le compte de l'Union Européenne. Une procédure judiciaire contre la plateforme dirigée par Elon Musk a été ouverte. Et grâce à cela, X s'est engagée à respecter les normes.
La DPC, représentant l'Union européenne, a annoncé le retrait de la procédure en justice contre X devant la Haute Cour irlandaise. Cette décision a été prise après que la plateforme a accepté de respecter les conditions établies, début août, concernant Grok. Graham Doyle, responsable de la communication de la DPC, a précisé à l'AFP que cet engagement est désormais « permanent ».
Puisque la procédure judiciaire contre X a été retirée, la plateforme va alors pouvoir poursuivre l'entraînement de Grok. Mais cette fois, l'équipe est obligée de s'y prendre différemment.
La DPC a sollicité l'avis du Comité européen de la protection des données pour clarifier certains points sur l'utilisation des données dans le développement d'une IA. Cette demande vise à établir des lignes directrices claires pour l'avenir, afin de garantir le respect des normes. Pour le moment, aucune règle n'a été précisée concernant ces pratiques pour l'entraînement d'IA.
Cet article Entraînement IA : pourquoi X n’exploitera plus vos données en tant qu’Européen ? a été publié sur LEBIGDATA.FR.
La Commission de protection des données (DPC) irlandaise a annoncé le 8 août dernier avoir obtenu du réseau social X la suspension du traitement des données à caractère personnel contenues dans les publications publiques de ses utilisateurs dans l’UE/EEE, traitées entre le 7 mai 2024 et le 1er août 2024. NOYB, estimant cet engagement insuffisant, a fait savoir ce lundi 12 août qu’elle a porté plainte auprès des organismes compétents dans neuf pays européens contre X afin d’obtenir une enquête complète.
Noyb est une organisation à but non lucratif basée à Vienne, en Autriche, qui vise à faire respecter les droits à la vie privée et à la protection des données personnelles. Elle a notamment porté plainte contre OpenAI auprès de l’autorité autrichienne de protection des données, et plus récemment, déposé 11 plaintes contre Meta qui ont poussé ce dernier à suspendre l’utilisation des données personnelles de ses utilisateurs dans l’UE/EEE.
En mai 2024, X a commencé à utiliser les données personnelles de plus de 60 millions d’utilisateurs européens, notamment pour développer son IA “Grok”. Cependant, cette initiative s’est faite sans aucune communication préalable avec les utilisateurs, et surtout, sans leur consentement explicite, un élément pourtant fondamental du RGPD. Au contraire, il semble que le nouveau paramètre par défaut permettant d’utiliser ces données par X, le réseau social d’Elon Musk, et sa start-up xAI à l’origine de Grok, ait été révélé grâce à une publication virale d’un utilisateur nommé « @EasyBakedOven » le 26 juillet dernier.
Face à ces manquements, la DPC a lancé une procédure judiciaire pour mettre un terme à ce traitement illégal des données et dès la première audience, a conclu un accord avec X pour suspendre l’entraînement de l’algorithme avec les données de l’UE jusqu’en septembre. Toutefois, Noyb critique l’action en justice de la DPC pour son manque de fermeté. Selon Max Schrems, président de l’organisation, la DPC ne remet pas en cause la légalité du traitement des données par Twitter, mais se concentre plutôt sur des questions secondaires, comme les mesures d’atténuation et le manque de coopération de l’entreprise.
Estimant que la réponse de la DPC est insuffisante, Noyb a déposé neuf plaintes auprès des autorités de protection des données (APD) en Autriche, en Belgique, en France, en Grèce, en Irlande, en Italie, aux Pays-Bas, en Pologne et en Espagne. Ces plaintes, qui visent à garantir une enquête complète, soulignent le non-respect par X des principes fondamentaux du RGPD, tels que le consentement préalable, le droit à l’oubli, les règles de transparence et la protection des données sensibles.
Selon Noyb,“Plus d’autres APD de l’UE s’impliquent dans la procédure, plus la pression est forte sur le DPC irlandais pour qu’il donne suite à son affaire et sur Twitter(X) pour qu’il se conforme réellement au droit de l’UE”
Max Schrems, président de Noyb, commente :
“Nous avons constaté d’innombrables cas d’application inefficace et partielle de la part de la DPC au cours des dernières années. Nous voulons nous assurer que Twitter respecte pleinement la législation de l’UE, qui exige – au strict minimum – de demander le consentement des utilisateurs dans ce cas.”
Le RGPD offre une solution claire à cette problématique : demander le consentement explicite des utilisateurs avant de traiter leurs données personnelles. Si X avait suivi cette démarche, même un faible pourcentage de consentements aurait suffi pour constituer un ensemble de données d’entraînement pour ses modèles d’IA. Cependant, l’entreprise a préféré ignorer cette étape cruciale, mettant en avant un “intérêt légitime” pour justifier ses actions, une position déjà rejetée par la Cour de justice de l’Union européenne dans des affaires similaires.
Devant l’ampleur des violations, Noyb a demandé l’application de la procédure d’urgence prévue par l’article 66 du RGPD. Cette disposition permet aux autorités de protection des données d’intervenir rapidement en cas de violation grave, avec la possibilité d’adopter des mesures contraignantes à l’échelle de l’Union européenne.
“Permettre aux entreprises de concilier innovation et respect des droits des personnes” : tel est l’objectif que la CNIL (Commission Nationale de l’Informatique et des Libertés) poursuit avec ses recommandations. Après avoir soumis une première série de fiches pratiques à consultation publique en 2023, à l’issue de laquelle elle a publié le 8 avril dernier ses premières recommandations sur l’application du RGPD au développement des systèmes d’IA, elle lance une nouvelle consultation publique portant sur une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’IA.
Pour la CNIL, le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs “police-justice” ou du régime intéressant la défense nationale ou la sûreté de l’État.
Les principaux acteurs français de l’IA, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics, rencontrés par la CNIL, ont fait remonter un fort besoin de sécurité juridique mais aussi des inquiétudes liées au RGPD : selon certains, ses principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle. Les 7 premières fiches ont donc abordé ces problèmes et ont également clarifié certaines règles applicables à la recherche scientifique, à la réutilisation de bases de données ou à la réalisation d’analyse d’impact sur la protection des données (AIPD).
Dans la continuité de ces travaux et afin d’apporter des réponses complémentaires aux interrogations partagées par les professionnels, les 7 fiches de cette seconde consultation traitent plusieurs questions majeures d’innovation et de protection :
La question de l’application du RGPD aux modèles d’IA eux-mêmes se pose, notamment en ce qui concerne la sécurisation des modèles et la protection contre la mémorisation et l’extraction des informations issues de l’entraînement. La CNIL sollicite les avis des professionnels via un questionnaire dédié de cette consultation publique.
Pour la CNIL :
“Le développement de systèmes d’IA est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques respectueux des droits et libertés fondamentaux. C’est à cette condition que les citoyens feront confiance à ces technologies”.
Si vous désirez contribuer à ses travaux, la consultation publique est ouverte jusqu’au 1er septembre prochain. Vous pouvez retrouver les 7 fiches soumises à consultation ici et retrouver le formulaire de participation via ce lien.
Apple Intelligence, iPhone Mirroring et le contrôle d'un écran en distance ne seront pas disponibles dans iOS 18, iPadOS 18 et macOS Sequoia en France à la rentrée. Apple dit prendre cette décision par prudence, par peur de fâcher l'Union européenne. Cette restriction historique est-elle justifiée ?
Facebook baisse d'un ton avec l'IA générative. Le réseau social revoit pour l'heure à la baisse ses projets : il n'y aura pas d'entraînement de son IA à partir des données de ses membres.
Facebook s'expose à une offensive juridique en Europe, à l'initiative de l'association autrichienne NOYB. Celle-ci, véritable bête noire des géants américains de la tech, a déposé plainte dans onze pays. En ligne de mire : la décision du réseau social d'exploiter les données de ses membres sans leur consentement pour nourrir son intelligence artificielle.
Toutes vos données publiques sur Instagram et Facebook vont servir à Meta pour entraîner son IA. Cette nouvelle politique doit être lancée à partir du 27 mai 2025. Cependant, les internautes peuvent s'opposer à ce traitement de leurs données personnelles. Avec, toutefois, certaines limites.
Si la semaine a débuté avec l’annonce d’un accord de licence avec le Financial Times lui permettant d’exploiter son contenu, OpenAI a été de nouveau la cible de nouvelles plaintes. Lundi, l’association autrichienne NOYB (None Of Your Business) a ainsi demandé une enquête sur le traitement des données personnelles et des mesures pour assurer sa conformité avec le RGPD. Le lendemain, huit journaux américains d’un même groupe portaient plainte pour violation de droit d’auteur contre la start-up et Microsoft.
2023 a été une année de batailles judiciaires pour OpenAI et s’est terminé pour elle par une nouvelle plainte : celle du New York Times. Le journal l’accusait de violer le droit d’auteur en entraînant les modèles tels que GPT-4 sur ses publications sans autorisation, lui faisant ainsi perdre des milliards de dollars.
OpenAI s’est défendu de vouloir spolier les éditeurs et créateurs, se disant prêt à collaborer avec eux “afin qu’ils tirent profit d’une technologie IA avancée et d’un nouveau modèle de revenus”.
La start-up a cherché à se rapprocher de différents médias afin que les réponses fournies par les versions payantes de ChatGPT soient d’actualité et produites en toute légalité. Elle a ainsi signé un accord avec le groupe de presse allemand Axel Springer après avoir conclu un partenariat avec l’Associated Press en juillet 2023. Plus récemment, en mars dernier, c’est avec le quotidien français Le Monde que le premier accord a été signé en France parallèlement à un partenariat avec le groupe de presse espagnol Prisa Media.
C’est le Financial Times lui-même qui a annoncé un accord de licence avec OpenAI et un partenariat stratégique pour développer de nouveaux produits et fonctionnalités d’IA pour ses lecteurs.
Il déclare également avoir acquis un accès à ChatGPT Enterprise pour tous ses employés afin que “ses équipes connaissent bien la technologie et puissent bénéficier des gains de créativité et de productivité rendus possibles par les outils d’OpenAI”.
L’article cite John Ridding, PDG de FT Group :
“Il s’agit d’un accord important à plusieurs égards. Cela reconnaît la valeur de notre journalisme primé et nous donnera un aperçu précoce de la façon dont le contenu est mis en évidence par l’IA. Nous sommes depuis longtemps un chef de file en matière d’innovation dans les médias d’information, pionniers du modèle d’abonnement et des technologies d’engagement, et ce partenariat nous aidera à rester à l’avant-garde des développements dans la façon dont les gens accèdent à l’information et l’utilisent”.
Si certains quotidiens se sont dits prêts à négocier, certains refusent de laisser OpenAI explorer et collecter des données à partir de leurs contenus comme la BBC, CNN ou Reuters.
C’est également le cas du New York Daily News, du Chicago Tribune, de l’Orlando Sentinel, du Sun Sentinel of Florida, du San Jose Mercury News, du Denver Post, de l’Orange County Register et du St. Paul Pioneer Press, huit journaux appartenant à Alden Global Capital. Ils accusent OpenAI d’avoir illégalement copié des millions de leurs articles pour entraîner ses modèles, et ce, sans contrepartie financière, tout comme Microsoft, qui en aurait fait de même pour Copilot.
Ces litiges en cours avec les médias soulignent les défis complexes auxquels l’industrie de l’IA est confrontée dans la recherche d’un équilibre entre innovation technologique, protection des droits d’auteur et rémunération équitable des créateurs de contenu.
Organisation à but non lucratif basée à Vienne, en Autriche, Noyb vise à faire respecter les droits à la vie privée et à la protection des données personnelles. Alors qu’une personnalité publique n’a pu faire rectifier la date erronée de sa naissance par OpenAI, elle a porté plainte auprès de l’autorité autrichienne de protection des données. Elle lui a demandé d’enquêter sur le traitement des données personnelles par OpenAI et d’imposer une amende pour garantir sa conformité future au RGPD.
Le RGPD exige que les informations concernant les individus soient exactes, que ceux-ci aient un accès complet aux informations stockées et à leur source, ce qu’OpenAI reconnait lui-même ne pas pouvoir faire. La start-up aurait toutefois déclaré que “la précision des faits dans les grands modèles de langage reste un domaine de recherche actif”.
Maartje de Graaf, avocate spécialisée dans la protection des données chez Noyb, commente:
“Inventer de fausses informations est déjà problématique en soi. Mais lorsqu’il s’agit de fausses informations sur des personnes, les conséquences peuvent être graves. Il est clair que les entreprises sont actuellement incapables de faire en sorte que les chatbots tels que ChatGPT soient conformes à la législation de l’UE lorsqu’ils traitent des données concernant des personnes. Si un système ne peut pas produire des résultats précis et transparents, il ne peut pas être utilisé pour générer des données sur des personnes. La technologie doit suivre les exigences légales, et non l’inverse”.
De nouveaux ennuis arrivent pour OpenAI, la société derrière ChatGPT. L'activiste autrichien Max Schrems, très actif contre les géants du net dès qu'il est question de données personnelles, a lancé une procédure contre le créateur du célèbre chatbot.
La CNIL a publié ce 8 avril ses premières recommandations sur l’application du RGPD au développement des systèmes d’IA. Elaborées après une consultation publique de deux mois et une série de rencontres avec des acteurs publics et privés pour recueillir leurs interrogations sur le sujet, elles visent à éclairer les décisions stratégiques de développement ou d’utilisation que ces derniers devront prendre dans les prochains mois.
Pour la CNIL, le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs “police-justice” ou du régime intéressant la défense nationale ou la sûreté de l’État.
Les principaux acteurs français de l’IA, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics, rencontrés par la CNIL, ont fait remonter un fort besoin de sécurité juridique mais aussi des inquiétudes liées au RGPD : selon certains, ses principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle.
Cependant pour la CNIL :
“L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informatiques sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée”.
Ces premières recommandations, élaborées en prenant en compte le RGPD mais également l’AI Act, concernent la phase de développement de systèmes d’IA, (conception du système, constitution de la base de données et entraînement) et non celle de déploiement. Les systèmes d’IA concernés sont ceux qui impliquent un traitement de données personnelles, à savoir :
Le principe de finalité exige de n’utiliser des données personnelles que pour un objectif précis défini à l’avance, ce qui permet de limiter les données personnelles que l’on va pouvoir utiliser pour l’entraînement d’un système d’IA. Il doit également être légitime, c’est-à-dire compatible avec les missions de l’organisme.
Alors qu’il est parfois objecté que l’exigence de définir une finalité est incompatible avec l’entraînement d’IA, qui peut développer des caractéristiques non anticipées, la CNIL estime qu’il n’en est rien et que l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.
Elle identifie trois types de situations qu’elle éclaire par des exemples:
Pour les SIA à usage général, où le système pourrait être utilisé dans divers contextes et applications, ou pour des fins de recherche scientifique, la définition de la finalité est plus complexe.
Les développeurs doivent déterminer leur rôle conformément au RGPD et au règlement européen sur l’IA.
Selon le RGPD, les développeurs de SIA sont soit responsables de traitement (RT) s’ils déterminent les objectifs et les moyens de traitement des données personnelles, soit sous-traitants (ST) s’ils traitent ces données pour le compte d’un responsable du traitement. L’AI Act distingue de son côté les fournisseurs de système d’IA des importateurs, distributeurs et utilisateurs (ou déployeurs) de ces systèmes.
Le degré de responsabilité (RT ou ST) des fournisseurs de SIA dépend d’une analyse au cas par cas en fonction de leur implication dans le développement du système.
Les développeurs de SIA utilisant des données personnelles doivent disposer d’une base légale autorisant leur traitement. Le RGPD prévoit six bases légales possibles : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime.
Selon la base légale retenue, leurs obligations et les droits des personnes pourront varier, d’où l’importance de la déterminer en amont et de l’indiquer dans la politique de confidentialité des données.
En pratique, le choix de la base légale dépend de la manière dont les données sont collectées et de leur nature. Par exemple, le consentement est souvent approprié lorsque les personnes fournissent directement leurs données et peuvent accepter ou refuser sans préjudice. Cependant, dans d’autres cas, par exemple lors de la collecte de données en ligne ou l’utilisation de bases de données open source, d’autres bases légales sont plus adaptées.
Pour les acteurs privés, l’intérêt légitime peut être utilisé sous réserve de certaines conditions, notamment que l’intérêt soit légal et défini, que les données soient réellement nécessaires et que l’atteinte à la vie privée soit proportionnée. La CNIL publiera d’ailleurs prochainement une analyse spécifique à la base légale de l’intérêt légitime.
Pour les acteurs publics, le traitement des données doit s’inscrire dans leur mission d’intérêt public définie par la loi et contribuer de manière pertinente et appropriée à cette mission.
Les bases légales du contrat et de l’obligation légale peuvent être mobilisées de manière exceptionnelle, lorsque le traitement des données est nécessaire pour l’exécution d’un contrat ou pour respecter une obligation légale précise.
La réutilisation de bases de données par un fournisseur de SIA est possible dans de nombreux cas, sous réserve de certaines conditions, notamment qu’elles n’aient pas été collectées de manière manifestement illicite (données open source) et, pour les données acquises auprès d’un tiers, que la finalité de réutilisation soit compatible avec la collecte initiale. Il revient aux responsables de traitement d’effectuer certaines vérifications complémentaires afin de garantir que cette utilisation est légale.
Le principe de minimisation n’interdit pas l’utilisation de vastes bases de données, mais les données doivent être sélectionnées de manière à optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. Il est important de respecter ce principe et l’appliquer de manière rigoureuse lorsque les données traitées sont sensibles (données concernant la santé, données relatives à la vie sexuelle aux opinions religieuses ou politiques…).
La CNIL recommande de mettre en œuvre des moyens techniques pour ne collecter que les données réellement utiles au développement du SIA, de mener une étude pilote avec des données fictives, synthétiques, anonymisées pour valider les choix de conception et de consulter un comité éthique pour garantir que les enjeux en matière d’éthique et de protection des droits et libertés des personnes sont bien pris en compte.
Pour la collecte des données, elle suggère entre autres de mettre en œuvre dès la conception des mesures de protection des données : anonymisation, généralisation, randomisation…Elle conseille également d’analyser régulièrement les données pour assurer leur suivi et leur mise à jour et de garantir la traçabilité des jeux de données utilisés en tenant une documentation à jour.
Le RGPD impose de définir une durée au bout de laquelle les données doivent être supprimées ou, dans certains cas, archivées.
Pour la phase de développement, la conservation des données doit être planifiée à l’avance et suivie dans le temps. Les personnes concernées doivent être informées de la durée de conservation des données, par exemple dans les mentions d’information.
Une fois que les données ne sont plus nécessaires pour les tâches quotidiennes liées au développement du système d’IA, elles doivent en principe être supprimées. Cependant, elles peuvent être conservées pour la maintenance ou l’amélioration du produit, à condition que des garanties appropriées soient mises en place, telles que des restrictions d’accès aux personnes habilitées.
Il est à noter que la conservation prolongée des données d’apprentissage peut être justifiée dans certains cas, comme pour effectuer des audits ou mesurer certains biais. Cependant, cette conservation doit être limitée aux données strictement nécessaires et accompagnée de mesures de sécurité renforcées.
L’analyse d’impact sur la protection des données (AIPD) est une démarche essentielle pour évaluer et réduire les risques liés au traitement des données personnelles dans le développement des SIA.
La CNIL recommande de réaliser une AIPD lorsque des critères spécifiques sont remplis, tels que la collecte de données sensibles ou à grande échelle, la combinaison de différents ensembles de données, ou l’utilisation de nouvelles solutions technologiques.
Le périmètre de l’AIPD dépend de l’objectif du système d’IA. Si l’usage opérationnel est clair, une AIPD générale pour l’ensemble du cycle de vie (développement et déploiement) est recommandée. Pour les systèmes d’IA à usage général, seule une AIPD pour la phase de développement est nécessaire.
En fonction des résultats de l’AIPD, des mesures doivent être prises pour réduire les risques, telles que des mesures de sécurité (chiffrement, environnement sécurisé), de minimisation des données, d’anonymisation ou de pseudonymisation, de protection des données dès le développement, d’exercice des droits pour les personnes, d’audit et de validation, ainsi que des mesures organisationnelles, de gouvernance et de traçabilité.
La CNIL publiera prochainement de nouvelles fiches permettant d’expliquer comment concevoir et entraîner des modèles dans le respect du RGPD : récupération de données sur internet, comment mobiliser l’intérêt légitime comme base légale, exercice des droits d’accès, de rectification et d’effacement, recours ou non à des licences ouvertes…
Ces fiches seront soumises à consultation publique. Retrouver les fiches concernant ses premières recommandations ici
L’AFCDP, l’Association française des correspondants à la protection des données à caractère personnel, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés, dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). Elle vient de publier la 10ème édition de son Baromètre trimestriel.
Si l’AFCDP est l’association représentative des DPO, elle rassemble largement au-delà des professionnels de la protection des données et des DPO désignés auprès de la CNIL. Elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Avec son Observatoire trimestriel, l’Association souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.
Paul-Olivier Gibert, Président de l’AFCDP, commente :
“L’AFCDP étant au plus proche des préoccupations quotidiennes des DPO, l’association propose avec ce Baromètre de prendre un peu de recul sur 3 questions clés par trimestre : le sentiment de l’évolution de la conformité des organisations, une question technique et une question d’actualité. Avec 275 répondants, nous sommes heureux de partager à nouveau ces résultats et d’en étudier l’évolution”.
Pour ce baromètre, l’AFCDP a mené une enquête en ligne auprès de ses 6000 membres entre le 28 décembre 2023 et le 19 janvier 2024, via le réseau social privé de l’association (178 répondants) et sa page LinkedIn (211 répondants).
L’association constate que le sentiment des DPO d’être écoutés et d’être en conformité, avec une stratégie de protection des données personnelle agile, continue d’augmenter (44% des répondants vs 37% en octobre 2023). De plus, les réglementations changeantes (DMA, DSA, DA, Privacy Shield/DPF, Cookies Wall, etc.) semblent moins perturber les stratégies de protection des données personnelles mises en place (16% vs 20 % des répondants en octobre 2023) en ce début 2024.
Paul-Olivier Gibert souligne :
“Nous sommes ravis de constater que le sentiment des professionnels de la protection des données personnelles s’améliore en cette édition anniversaire de notre observatoire, qui correspond en termes de timing avec les 20 ans de l’association. 20 ans à soutenir les acteurs de la protection des données personnelles dans leurs défis et challenges, 20 ans à partager avec les institutions législatives et réglementaires, françaises et européennes, les constats, les succès et les limites que nos membres rencontrent au quotidien au sein de leurs organisations. Et nous avons pour ambition aujourd’hui de participer à une meilleure harmonisation entre les exigences réglementaires et les réalités pratiques du terrain”.
En vigueur depuis mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne a été conçu pour renforcer la protection des données personnelles des citoyens de l’UE et réglementer leur traitement par les organisations. L’AFCDP constate auprès de ses membres combien la mise en œuvre et la conformité varient d’une organisation à l’autre. De nombreuses entreprises ont investi des ressources importantes pour s’assurer qu’elles respectent les exigences du RGPD, tandis que d’autres travaillent encore à atteindre une conformité totale.
Paul-Olivier Gibert assure :
“Nous avons le sentiment global que l’application du RGPD arrive à un premier stade de maturité : celui d’une sensibilisation générale de l’opinion sur l’importance de la protection des données personnelles. Et les chiffres le confirment avec l’avis de 57% des professionnels de la protection des données personnelles répondants qui partagent ce sentiment. Il reste de nombreux challenges à relever pour nos DPO, tant dans la mise en œuvre au quotidien et l’objectif de conformité totale, que dans les nouveaux défis qui apparaissent, comme l’introduction de l’Intelligence Artificielle dans nos organisations à court et/ou moyen termes”.
Il est manifeste que la grande majorité des professionnels de la protection des données personnelles (67%) se sent concernée par la réglementation européenne autour de l’IA. Celle-ci représente des défis en matière de protection des données personnelles : en raison de sa capacité à traiter d’énormes quantités de données, l’IA peut potentiellement accéder, analyser et utiliser des informations sensibles sur les individus. Ce qui soulève des préoccupations quant à la confidentialité et à la sécurité des données personnelles.
Paul-Olivier Gibert rappelle :
“Il semble effectivement nécessaire d’avoir un encadrement des pratiques et usages de l’IA pour permettre aux organisations de rester en conformité avec le RGPD et, plus globalement, de s’assurer du respect de la protection des données personnelles de chacun. Revient ici la difficulté déjà rencontrée maintes fois par nos membres, d’accorder l’innovation technologique qui bouleverse et optimise les pratiques, et la conformité réglementaire, voire l’éthique. Protéger sans freiner le développement et l’innovation. Le challenge ne va, encore une fois, pas être simple”.
L’AI Act deviendra bientôt une loi après que les pays membres de l’UE, même les plus récalcitrants comme la France, aient unanimement approuvé le texte. Après sa promulgation, l’AI Act deviendra la première loi au monde régissant l’utilisation de l’intelligence artificielle.
Après de longues négociations avec le Conseil européen, le Parlement européen et la Commission européenne, les députés des 27 États membres de l’UE ont voté à l’unanimité vendredi en faveur de l’AI Act, la loi sur l’intelligence artificielle. Le parlement européen a annoncé la nouvelle dans un communiqué publié sur son site Web.
« Les députés ont trouvé un accord avec le Conseil sur un projet garantissant la sécurité de l’IA, le respect des droits fondamentaux, de la démocratie et le développement des entreprises », peut-on lire dans le communiqué. Une fois adoptée, cette loi ouvre la voie à un ensemble de règles révolutionnaires qui viendront influencer la manière de gouverner l’IA dans le bloc et le reste du monde.
Certains pays, dont la France, l’Allemagne, l’Italie ou encore l’Autriche avaient auparavant formé une minorité de blocage à l’adoption de l’AI Act, devenant la pierre d’achoppement du projet de loi. Néanmoins, ils ont fini par aller dans le sens de la majorité après avoir clarifié certains points avec le Conseil.
Thierry Breton, commissaire européen chargé du marché intérieur, s’est exprimé sur la récente approbation de l’AI Act par le bloc. « Les 27 Etats membres ont approuvé à l’unanimité l’accord politique conclu en décembre, reconnaissant l’équilibre trouvé par les négociateurs entre innovation et sécurité », a-t-il déclaré sur X.
"Historique, première…"
— Thierry Breton (@ThierryBreton) February 2, 2024
L'#IAAct a déchaîné les passions…à juste titre!
Aujourd'hui les 27 États membres ont approuvé à l'unanimité l'accord politique conclu en décembre— reconnaissant l'équilibre trouvé par les négociateurs entre innovation & sécurité.
L'UE, c'est l'IA!
Tout en annonçant l’approbation collective de l’accord politique, il reconnaît son importance pour le paysage de l’IA de l’UE et au-delà. La commission du marché intérieur et la commission des libertés civiles, vont encore examiner le texte avant de passer au vote le 13 février prochain.
Le vote en plénière du Parlement européen est attendu le 10 ou le 11 avril prochain. Les observateurs ne s’attendent plus à des oppositions, que ce soit au sein des commissions ou en plénière. Une fois adoptée, l’AI Act entrera en vigueur 20 jours après sa publication au journal officiel.
Cet article AI Act : tous les pays de l’UE sont d’accord pour la première loi sur l’IA a été publié sur LEBIGDATA.FR.
Connexion