Plaintes sur la protection des données contre l'entreprise X sur l'entraînement utilisant les données utilisateur
La plateforme en ligne X (anciennement Twitter) entraîne ce qu’on appelle une intelligence artificielle avec des données utilisateur. Comme les utilisatrices et utilisateurs n’en ont même pas été informés au préalable, l’organisation autrichienne Noyb a déposé des plaintes relatives à la protection des données dans 9 pays européens.
X offre son propre chatbot Grok, développé par l’entreprise xAI, aux utilisatrices et utlisateurs payants. Pour apprendre des connaisances linguistiques au système, le logiciel est « entraîné » avec des volumes importants de données, par exemple les contributions d’utilisateurs humains.
Noyb dénonce (en allemand) désormais le fait qu’X aurait déjà commencé en mai à alimenter « irrévocablement » Grok avec les données d’utilisatrices et utilisateurs européens. La plateforme n’aurait cependant pas demandé leur consentement relatif au traitement des données, comme le prescrit porutant le règlement général sur la protection des données (RGPD), et ne les aurait même pas informés.
La plupart des utilisatrices et utilisateurs auraient seulement appris le traitement des données fin juillet, grâce au message d’un utilisateur de X (en anglais). Celui-ci avait fait allusion à un nouveau paramètre par défaut qui permet à la plateforme d’utiliser des données utilisateur pour la « formation et l’ajustement ».
« Poser simplement une question Oui/Non »
Noyb a déclaré que le traitement des données nécessitait une base juridique inscrite dans le RGPD. Au lieu cependant de s’appuyer sur le consentement des utilisateurs, X fait valoir un « intérêt légitime ». La Cour de justice européenne aurait cependant déjà rejeté ce principe dans un cas où il s’agissait d’utiliser des données personnelles pour de la publicité ciblée dans Meta.
Max Schrems, président de Noyb, a déclaré : « Les entreprises qui interagissent directement avec les utilisateurs doivent simplement leur poser une question de type Oui/Non » avant d’utiliser leurs données. Elles le font régulièrement pour d’autres choses, ce serait donc sans aucun doute possible pour l’entraînement de l’intelligence artificielle. »
X a également enfreint d’autres dispositions du RGPD, d’après Noyb. L’ONG a par conséquent déposé neuf plaintes auprès des autorités de protection des données en Autriche, Belgique, Espagne, France, Grèce, Irlande, Italie, Pays-Bas et Pologne.
X devant le tribunal
La semaine dernière déjà, il avait été communiqué que l’autorité de protection des données irlandaise DPC avait engagé une action en justice contre X (en anglais). Comme l’entreprise a son siège principal en Irlande, les autorités de ce pays sont compétentes.
X avait alors déclaré être prête (en anglais) à suspendre le traitement des « données personnelles issues des messages publics des utilisateurs de l’UE/EEE de X ».
D’après Noyb, il est toutefois apparu clairement lors d’une audience du tribunal la semaine dernière que l’autorité se préoccupe principalement de ce qu’elle appelle des « mesures d’endiguement des risques ». La DPC ne semble toutefois pas se préoccuper de la question centrale de l’absence de consentement.
M. Schrems a déclaré : « Les documents judiciaires ne sont pas publics, mais il ressort de l’audition que l’autorité de protection des données n’a pas remis en question la légalité même de ce traitement. Il semble que la DPC se contente d’un soi-disant “endiguement des risques” et critique plutôt le manque de coopération de Twitter. L’autorité semble aborder uniquement des thèmes à la marge mais se dérobe devant le problème principal ».
D’après Noyb, de nombreuses questions sont restées sans réponse lors du procès. Les plaintes désormais déposées par l’ONG doivent mener au fait que « les problèmes juridiques centraux liés à la formation à l’IA de Twitter soient entièrement résolus ». Plus les autorités européennes de protection des données seront nombreuses à participer à la procédure, plus la pression sur la DPC irlandaise et sur X sera grande.
Vu que le traitement des données a déjà débuté, Noyb a fait le demande de ce que l’on appelle une procédure d’urgence. Cela permet aux autorités de prendre des mesures transitoires.
Possibilité de retrait
Les utilisatrices et utilisateurs qui ne souhaitent pas que leurs données soient utilisées pour l’entraînement des algorithmes peuvent décocher dans les paramètres d’X la case au niveau du point « Permettre à vos contributions ainsi qu’à vos interactions, saisies dans Grok et résultats associés d’être utilisés à des fins de formation et d’ajustement. »
L’entreprise Meta du groupe Facebook avait également prévu d’utiliser les donnés d’utilisateur pour entraîner les algorithmes. Dans ce cas, les utilisatrices et utilisateurs ont été informés ; au lieu de leur demander leur consentement, seul leur droit d’opposition leur a cependant été notifié.
C’est pourquoi Noyb avait alors déposé onze plaintes auprès des autorités nationales de protection des données. Les associations de protection des consommateurs avaient également mis Meta en garde (en allemand).
En juin, Meta avait enfin communiqué qu’elle n’utiliserait plus, dans un premier temps, les contenus de ses utilisatrices et utilisateurs pour l’apprentissage automatique. (dpa / js)