La Commission de protection des données (DPC) irlandaise a annoncé le 8 août dernier avoir obtenu du réseau social X la suspension du traitement des données à caractère personnel contenues dans les publications publiques de ses utilisateurs dans l’UE/EEE, traitées entre le 7 mai 2024 et le 1er août 2024. NOYB, estimant cet engagement insuffisant, a fait savoir ce lundi 12 août qu’elle a porté plainte auprès des organismes compétents dans neuf pays européens contre X afin d’obtenir une enquête complète.

Noyb est une organisation à but non lucratif basée à Vienne, en Autriche, qui vise à faire respecter les droits à la vie privée et à la protection des données personnelles. Elle a notamment porté plainte contre OpenAI auprès de l’autorité autrichienne de protection des données, et plus récemment, déposé 11 plaintes contre Meta qui ont poussé ce dernier à suspendre l’utilisation des données personnelles de ses utilisateurs dans l’UE/EEE.

Une violation flagrante du RGPD

En mai 2024, X a commencé à utiliser les données personnelles de plus de 60 millions d’utilisateurs européens, notamment pour développer son IA “Grok”. Cependant, cette initiative s’est faite sans aucune communication préalable avec les utilisateurs, et surtout, sans leur consentement explicite, un élément pourtant fondamental du RGPD. Au contraire, il semble que le nouveau paramètre par défaut permettant d’utiliser ces données par X, le réseau social d’Elon Musk, et sa start-up xAI à l’origine de Grok, ait été révélé grâce à une publication virale d’un utilisateur nommé « @EasyBakedOven » le 26 juillet dernier.

L’intervention de la DPC irlandaise : une action mitigée

Face à ces manquements, la DPC a lancé une procédure judiciaire pour mettre un terme à ce traitement illégal des données et dès la première audience, a conclu un accord avec X pour suspendre l’entraînement de l’algorithme avec les données de l’UE jusqu’en septembre. Toutefois, Noyb critique l’action en justice de la DPC pour son manque de fermeté. Selon Max Schrems, président de l’organisation, la DPC ne remet pas en cause la légalité du traitement des données par Twitter, mais se concentre plutôt sur des questions secondaires, comme les mesures d’atténuation et le manque de coopération de l’entreprise.

Neuf plaintes contre X

Estimant que la réponse de la DPC est insuffisante, Noyb a déposé neuf plaintes auprès des autorités de protection des données (APD) en Autriche, en Belgique, en France, en Grèce, en Irlande, en Italie, aux Pays-Bas, en Pologne et en Espagne. Ces plaintes, qui visent à garantir une enquête complète, soulignent le non-respect par X des principes fondamentaux du RGPD, tels que le consentement préalable, le droit à l’oubli, les règles de transparence et la protection des données sensibles.

Selon Noyb,“Plus d’autres APD de l’UE s’impliquent dans la procédure, plus la pression est forte sur le DPC irlandais pour qu’il donne suite à son affaire et sur Twitter(X) pour qu’il se conforme réellement au droit de l’UE”

Max Schrems, président de Noyb, commente :

“Nous avons constaté d’innombrables cas d’application inefficace et partielle de la part de la DPC au cours des dernières années. Nous voulons nous assurer que Twitter respecte pleinement la législation de l’UE, qui exige – au strict minimum – de demander le consentement des utilisateurs dans ce cas.”

Une solution simple : demander le consentement des utilisateurs

Le RGPD offre une solution claire à cette problématique : demander le consentement explicite des utilisateurs avant de traiter leurs données personnelles. Si X avait suivi cette démarche, même un faible pourcentage de consentements aurait suffi pour constituer un ensemble de données d’entraînement pour ses modèles d’IA. Cependant, l’entreprise a préféré ignorer cette étape cruciale, mettant en avant un “intérêt légitime” pour justifier ses actions, une position déjà rejetée par la Cour de justice de l’Union européenne dans des affaires similaires.

Une procédure d’urgence en vertu de l’article 66 du RGPD

Devant l’ampleur des violations, Noyb a demandé l’application de la procédure d’urgence prévue par l’article 66 du RGPD. Cette disposition permet aux autorités de protection des données d’intervenir rapidement en cas de violation grave, avec la possibilité d’adopter des mesures contraignantes à l’échelle de l’Union européenne.

La Commission de protection des données (Data Protection Commission ou DPC), le régulateur irlandais de la vie privée responsable de la supervision de Meta (Facebook, Instagram) en Europe, puisque son siège social se trouve à Dublin, a annoncé vendredi dernier saluer “la décision de Meta de suspendre ses plans d’entraînement de son grand modèle linguistique en utilisant du contenu public partagé par des adultes sur Facebook et Instagram dans l’UE/EEE”.

Facebook et Instagram n’exploiteront donc pas les informations partagées par leurs utilisateurs européens comme ils entendaient le faire à partir du 26 juin prochain.

Meta déclare sur son blog :

“Nous sommes déçus par la demande de la Commission irlandaise de protection des données (DPC), notre principal régulateur, au nom des APD européennes, de retarder la formation de nos grands modèles de langage (LLM) à l’aide de contenu public partagé par des adultes sur Facebook et Instagram, d’autant plus que nous avons intégré les commentaires réglementaires et que les APD européennes ont été informées depuis mars. Il s’agit d’un pas en arrière pour l’innovation européenne, la concurrence dans le développement de l’IA et de nouveaux retards dans la mise à disposition des avantages de l’IA aux citoyens européens”.

Se justifiant :

“Nous suivons l’exemple d’autres, notamment Google et OpenAI, qui ont déjà utilisé des données européennes pour former l’IA. Notre approche est plus transparente et offre des contrôles plus faciles que beaucoup de nos homologues de l’industrie qui entraînent déjà leurs modèles sur des informations similaires accessibles au public”.

Onze plaintes de NYOB

La décision de Meta fait suite à onze plaintes déposées par NOYB (None of Your Business) et d’autres groupes de protection des consommateurs auprès des autorités de protection des données à travers l’Europe.

Organisation à but non lucratif basée à Vienne, en Autriche, NYOB a d’ailleurs également porté plainte en mai dernier contre OpenAI auprès de l’autorité autrichienne de protection des données.

Meta avait initialement justifié l’utilisation des données des utilisateurs en se basant sur un “intérêt légitime”, en informant seulement certains utilisateurs et en offrant une option de “désinscription” jugée compliquée et trompeuse. Cependant, après une pression croissante des régulateurs européens et ces plaintes, Meta a convenu avec le DPC de mettre en pause ces projets.

Le président de NOYB, Max Schrems, a toutefois accueilli cette décision avec prudence, déclarant :

 “Nous nous félicitons de cette évolution, mais nous la suivrons de près. Jusqu’à présent, il n’y a pas eu de modification officielle de la politique de confidentialité de Meta, ce qui rendrait cet engagement juridiquement contraignant. Les plaintes que nous avons déposées sont en cours et devront faire l’objet d’une décision.”

Max Schrems a également critiqué Meta pour ne pas avoir simplement demandé le consentement explicite des utilisateurs pour le traitement des données à des fins d’entraînement de ses modèles d’IA, ce qui est permis par le RGPD :

“Le communiqué de presse de Meta ressemble un peu à une “punition collective”. Si un Européen insiste sur ses droits, le continent tout entier ne recevra pas ses nouveaux produits. Cependant, Meta a tout à fait la possibilité de déployer l’IA sur la base d’un consentement valide – il choisit simplement de ne pas le faire“.

Il souligne que l’annonce de Meta a été faite un vendredi soir, un moment souvent choisi par les entreprises pour minimiser la couverture médiatique des nouvelles négatives.