X, la plateforme de médias sociaux appartenant à Elon Musk, a été la cible d'une série de plaintes en matière de confidentialité après s'être servie des données des utilisateurs de l'Union européenne pour former des modèles d'IA sans demander le consentement des personnes.
Le mois dernier, un internaute aux yeux d'aigle a repéré un paramètre indiquant que X avait discrètement commencé à traiter les données de publication des utilisateurs régionaux pour entraîner son chatbot Grok AI. Cette révélation a suscité une expression de « surprise » de la part de la Commission irlandaise de protection des données (DPC), l'organisme de surveillance chargé de surveiller la conformité de X avec le règlement général sur la protection des données (RGPD) de l'Union.
Le RGPD, qui peut sanctionner les infractions avérées par des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial, exige que toute utilisation de données personnelles repose sur une base légale valable. Les neuf plaintes contre X, déposées auprès des autorités de protection des données d'Autriche, de Belgique, de France, de Grèce, d'Irlande, d'Italie, des Pays-Bas, de Pologne et d'Espagne, l'accusent d'avoir failli à cette étape en traitant les publications des Européens pour entraîner des IA sans obtenir leur consentement.
Max Schrems, président de l’association de défense des droits à la vie privée noyb, qui soutient les plaintes, a déclaré dans un communiqué : « Nous avons constaté d’innombrables cas d’application inefficace et partielle de la loi par la DPC au cours des dernières années. Nous voulons nous assurer que Twitter se conforme pleinement à la législation européenne, qui, au minimum, exige de demander le consentement des utilisateurs dans ce cas. »
La DPC a déjà pris des mesures concernant le traitement des données par X pour la formation des modèles d'IA, en engageant une action en justice devant la Haute Cour irlandaise pour obtenir une injonction afin de l'obliger à cesser d'utiliser les données. Mais noyb soutient que les mesures prises jusqu'à présent par la DPC sont insuffisantes, soulignant qu'il n'existe aucun moyen pour les utilisateurs de X d'obliger l'entreprise à supprimer les « données déjà ingérées ». En réponse, noyb a déposé des plaintes en vertu du RGPD en Irlande et dans sept autres pays.
Les plaintes font valoir que X n'a aucune base valable pour utiliser les données de quelque 60 millions de personnes dans l'UE pour entraîner des IA sans obtenir leur consentement. La plateforme semble s'appuyer sur une base juridique connue sous le nom d'« intérêt légitime » pour le traitement lié à l'IA. Cependant, les experts en protection de la vie privée affirment qu'elle doit obtenir le consentement des personnes.
« Les entreprises qui interagissent directement avec les utilisateurs doivent simplement leur demander de répondre par oui ou par non avant d’utiliser leurs données. Elles le font régulièrement pour de nombreuses autres choses, ce qui serait certainement possible également pour la formation de l’IA », suggère Schrems.
En juin, Meta a suspendu un plan similaire visant à traiter les données des utilisateurs pour la formation des IA après que noyb ait soutenu certaines plaintes relatives au RGPD et que les régulateurs soient intervenus.
Mais l'approche de X, qui consiste à s'approprier discrètement les données des utilisateurs pour la formation de l'IA sans même avertir les gens, semble lui avoir permis de passer sous le radar pendant plusieurs semaines.
Selon le DPC, X traitait les données des Européens pour la formation du modèle d'IA entre le 7 mai et le 1er août.
Les utilisateurs de X ont obtenu la possibilité de refuser le traitement via un paramètre ajouté à la version Web de la plateforme, apparemment fin juillet. Mais il n'existait aucun moyen de bloquer le traitement avant cela. Et bien sûr, il est délicat de refuser que vos données soient utilisées pour l'entraînement de l'IA si vous ne savez même pas que cela se produit en premier lieu.
Ceci est important car le RGPD vise explicitement à protéger les Européens contre toute utilisation inattendue de leurs informations qui pourrait avoir des répercussions sur leurs droits et libertés.
Pour plaider contre le choix de base juridique de X, noyb fait référence à un jugement rendu l'été dernier par la plus haute juridiction européenne – relatif à une plainte en matière de concurrence contre l'utilisation par Meta des données personnelles à des fins de ciblage publicitaire – dans lequel les juges ont statué qu'une base juridique fondée sur un intérêt légitime n'était pas valable pour ce cas d'utilisation et que le consentement de l'utilisateur devait être obtenu.
Noyb souligne également que les fournisseurs de systèmes d'IA générative affirment généralement qu'ils ne sont pas en mesure de se conformer à d'autres exigences fondamentales du RGPD, telles que le droit à l'oubli ou le droit d'obtenir une copie de vos données personnelles. Ces préoccupations figurent dans d'autres plaintes en suspens contre ChatGPT d'OpenAI.