Récemment, la plateforme de médias sociaux X (anciennement Twitter) a fait face à une série de plaintes pour violation de la vie privée pour avoir utilisé les données des utilisateurs de l'Union européenne pour entraîner son chatbot d'intelligence artificielle Grok, sans leur consentement. Fin du mois dernier, des internautes attentifs ont découvert que X avait discrètement ajouté une option dans ses paramètres, indiquant qu'il avait commencé à traiter les données des publications des utilisateurs européens pour l'entraînement de son IA. Cela a suscité l'inquiétude de la Commission irlandaise de protection des données (DPC), qui s'est dite "très surprise".
Selon le Règlement général sur la protection des données (RGPD) de l'Union européenne, les entreprises doivent avoir une base juridique pour utiliser des données personnelles, faute de quoi elles risquent des amendes pouvant atteindre 4 % de leur chiffre d'affaires annuel mondial. Neuf plaintes, provenant d'Autriche, de Belgique, de France, de Grèce, d'Irlande, d'Italie, des Pays-Bas, de Pologne et d'Espagne, accusent X d'avoir traité les données d'environ 60 millions d'utilisateurs européens pour son modèle d'IA sans leur consentement.
Dans une déclaration, Max Schrems, président de l'organisation à but non lucratif pour la protection de la vie privée noyb, a déclaré : « L'efficacité de l'application du droit par la DPC a été décevante ces dernières années. Nous voulons nous assurer que Twitter respecte la législation européenne et, au minimum, demande le consentement des utilisateurs dans ce cas précis. » En réalité, la DPC a déjà engagé des poursuites contre X concernant le traitement des données d'entraînement de son IA, demandant une injonction pour mettre fin à cette pratique. Mais noyb estime que les mesures de la DPC sont insuffisantes, car les utilisateurs ne peuvent pas demander la suppression des données déjà traitées. C'est pourquoi noyb a déposé des plaintes au titre du RGPD en Irlande et dans sept autres pays.
Les plaintes soulignent que X n'a pas de base juridique pour traiter ces données utilisateur. Bien que la plateforme affirme se fonder sur un « intérêt légitime » pour le traitement des données liées à l'IA, des experts en matière de confidentialité affirment que X doit obtenir le consentement des utilisateurs. Schrems a ajouté : « Les entreprises qui interagissent directement avec les utilisateurs n'ont qu'à présenter un simple avertissement oui/non avant d'utiliser leurs données, ce qui est déjà fait dans de nombreux autres contextes, et cela est donc tout à fait réalisable dans le cadre de l'entraînement de l'IA. »
Auparavant, Meta avait suspendu un projet similaire, en raison de plaintes de noyb et de l'intervention des autorités de régulation. Cependant, la démarche de X semble être passée inaperçue pendant plusieurs semaines. Selon la DPC, X a traité les données des utilisateurs européens entre le 7 mai et le 1er août. Bien qu'une option permettant aux utilisateurs de refuser le traitement des données ait été ajoutée à la version web de X fin juillet, les utilisateurs n'avaient aucun moyen de connaître l'existence de cette option auparavant.
Ceci est très important, car le RGPD vise à protéger les utilisateurs européens contre l'utilisation non déclarée de leurs données. Dans le débat sur la base juridique de X, noyb cite un arrêt de la Cour de justice de l'Union européenne de l'année dernière, selon lequel l'« intérêt légitime » ne s'applique pas à ce cas et que le consentement des utilisateurs est obligatoire. En outre, noyb souligne que de nombreux systèmes d'IA générative affirment généralement qu'ils ne peuvent pas respecter d'autres exigences fondamentales du RGPD, telles que le droit à l'oubli ou le droit d'accès aux données personnelles.
Points clés :
1. 📜 X (Twitter) fait l’objet de neuf plaintes pour violation de la vie privée pour avoir utilisé les données des utilisateurs européens pour entraîner son IA sans leur consentement.
2. 🚨 L’organisation de défense de la vie privée noyb souligne que X doit se conformer au RGPD et que les utilisateurs doivent être informés de l’utilisation de leurs données et donner leur consentement.
3. ⚖️ La DPC a engagé des poursuites contre X et demande une injonction pour mettre fin au traitement des données, mais les utilisateurs ne peuvent toujours pas supprimer les données déjà utilisées.
