Meta prvoit d’utiliser des donnes personnelles pour entraner ses modles d’IA sans demander de consentement, mais le groupe de dfense NOYB a appel les responsables de la protection de la vie prive dans toute l’Europe. Noyb demande 11 autorits de protection des donnes de mettre immdiatement un terme l’utilisation abusive des donnes personnelles par Meta des fins d’intelligence artificielle.
Le projet de Meta d’utiliser des donnes personnelles pour entraner ses modles d’intelligence artificielle (IA) sans demander de consentement a t critiqu par le groupe de dfense NOYB, qui a appel les responsables de la protection de la vie prive travers l’Europe mettre fin une telle utilisation. NOYB (none of your business) a exhort les organismes nationaux de protection de la vie prive agir immdiatement, estimant que les rcents changements apports la politique de confidentialit de Meta, qui entreront en vigueur le 26 juin, lui permettraient d’utiliser des annes de messages personnels, d’images prives ou de donnes de suivi en ligne pour la technologie d’intelligence artificielle de l’entreprise propritaire de Facebook.
Le groupe de dfense a dclar avoir dpos 11 plaintes contre Meta et demand aux autorits de protection des donnes en Autriche, en Belgique, en France, en Allemagne, en Grce, en Italie, en Irlande, aux Pays-Bas, en Norvge, en Pologne et en Espagne de lancer une procdure d’urgence en raison de l’imminence des changements. Meta a rejet les critiques de NOYB et s’est rfr un blog du 22 mai dans lequel elle a dclar qu’elle utilisait des informations en ligne et sous licence accessibles au public pour former l’IA, ainsi que des informations que les gens ont partages publiquement sur ses produits et services.
Toutefois, un message envoy aux utilisateurs de Facebook indique que Meta peut encore traiter des informations sur des personnes qui n’utilisent pas ses produits et services et n’ont pas de compte si elles apparaissent dans une image ou sont mentionnes dans des messages ou des lgendes partags par un utilisateur. « Nous sommes convaincus que notre approche est conforme aux lois sur la protection de la vie prive et qu’elle est cohrente avec la manire dont d’autres entreprises technologiques dveloppent et amliorent leurs expriences en matire d’IA en Europe (notamment Google et Open AI)« , a dclar un porte-parole.
Noyb appel les autorits de l’UE mettre un terme l’utilisation abusive des donnes personnelles par Meta
Ces derniers jours, Meta a inform des millions d’Europens que sa politique de confidentialit changeait une fois de plus. Ce n’est qu’en examinant de plus prs les liens figurant dans la notification qu’il est apparu clairement que l’entreprise prvoit d’utiliser des annes de messages personnels, d’images prives ou de donnes de suivi en ligne pour une « technologie d’IA » non dfinie qui peut ingrer des donnes personnelles provenant de n’importe quelle source et partager n’importe quelle information avec des « tiers » non dfinis.
Au lieu de demander le consentement des utilisateurs (opt-in), Meta fait valoir un intrt lgitime qui l’emporte sur le droit fondamental la protection des donnes et la vie prive des utilisateurs europens. Une fois leurs donnes dans le systme, les utilisateurs semblent n’avoir aucune possibilit de les supprimer (« droit l’oubli« ). Noyb a dpos des plaintes dans 11 pays europens, demandant aux autorits de lancer une procdure d’urgence pour mettre fin ce changement immdiatement, avant qu’il n’entre en vigueur le 26 juin 2024.
Toutes les donnes non publiques pour une future « technologie d’IA » non dfinie
Contrairement la situation dj problmatique des entreprises qui utilisent certaines donnes (publiques) pour former un systme d’IA spcifique (par exemple un chatbot), la nouvelle politique de confidentialit de Meta indique essentiellement que l’entreprise souhaite prendre toutes les donnes publiques et non publiques des utilisateurs qu’elle a collectes depuis 2007 et les utiliser pour tout type indfini de « technologie d’intelligence artificielle » actuelle et future. Cela inclut les nombreux comptes Facebook « dormants » avec lesquels les utilisateurs n’interagissent presque plus, mais qui contiennent encore d’normes quantits de donnes personnelles.
En outre, Meta affirme pouvoir collecter des informations supplmentaires auprs de tout « tiers » ou racler des donnes partir de sources en ligne. La seule exception semble tre les chats entre particuliers, mais mme les chats avec une entreprise sont concerns. Les utilisateurs ne reoivent aucune information sur les objectifs de la « technologie d’IA« , ce qui va l’encontre des exigences du RGPD. La politique de confidentialit de Meta autoriserait thoriquement n’importe quelle finalit.
Ce changement est particulirement inquitant parce qu’il concerne les donnes personnelles d’environ 4 milliards d’utilisateurs de Meta, qui seront utilises pour une technologie exprimentale pratiquement sans limite. Au moins, les utilisateurs de l’UE/EEE devraient (en thorie) tre protgs contre de tels abus par le RGPD.
Max Schrems, fondateur de NOYB dclare :
Meta dit en fait qu’il peut utiliser « n’importe quelle donne provenant de n’importe quelle source pour n’importe quel usage et la mettre la disposition de n’importe qui dans le monde« , condition que ce soit par le biais d’une « technologie d’intelligence artificielle« . Il s’agit clairement de l’oppos de la conformit au RGPD. L’expression « technologie d’IA » est extrmement large. Tout comme « l’utilisation de vos donnes dans des bases de donnes« , il n’y a pas de limite lgale relle. Meta ne dit pas quoi serviront les donnes, il pourrait donc s’agir d’un simple chatbot, d’une publicit personnalise extrmement agressive ou mme d’un drone tueur. Meta prcise galement que les donnes des utilisateurs peuvent tre mises la disposition de n’importe quel « tiers« , c’est–dire n’importe qui dans le monde.
Les intrts de Meta l’emportent-ils sur les droits des utilisateurs ?
Normalement, le traitement des donnes personnelles dans l’Union europenne est illgal par dfaut. Par consquent, Meta doit s’appuyer sur l’une des six bases juridiques prvues l’article 6, paragraphe 1, du RGPD pour traiter les donnes caractre personnel. Bien que le choix logique soit le consentement explicite, Meta prtend nouveau qu’il a un « intrt lgitime » qui l’emporte sur les droits fondamentaux des utilisateurs.
Meta a dj fait valoir cet argument dans le contexte de l’utilisation de toutes les donnes personnelles des fins publicitaires et a t rejet par la Cour de justice. Aujourd’hui, Meta utilise la mme base juridique pour justifier une utilisation encore plus large et plus agressive des donnes personnelles des utilisateurs.
Max Schrems : La Cour de justice des Communauts europennes a dj clairement indiqu que Meta n’avait pas d’ intrt lgitime faire prvaloir sur le droit des utilisateurs la protection des donnes lorsqu’il s’agit de publicit. Pourtant, l’entreprise tente d’utiliser les mmes arguments pour la formation une technologie d’IA non dfinie. Il semble que Meta ignore une fois de plus de manire flagrante les arrts de la CJUE.
L’objection est une farce
Meta tente mme de rendre les utilisateurs responsables de la protection de leur vie prive en les dirigeant vers un formulaire d’objection (opt-out) que les utilisateurs sont censs remplir s’ils ne veulent pas que Meta utilise toutes leurs donnes. Alors qu’en thorie, l’opt-out pourrait tre mis en uvre de telle sorte qu’il ne ncessite qu’un seul clic (comme le bouton se dsinscrire dans les lettres d’information), Meta rend l’objection extrmement complique, mme pour des raisons personnelles.
Une analyse technique des liens d’exclusion a mme montr que Meta exige une connexion pour consulter une page par ailleurs publique. Au total, Meta demande quelque 400 millions d’utilisateurs europens de s’opposer, au lieu de leur demander leur consentement.
Max Schrems : Reporter la responsabilit sur l’utilisateur est compltement absurde. La loi exige que Meta obtienne le consentement de l’utilisateur, et non qu’il fournisse un formulaire d’exclusion cach et trompeur. Si Meta veut utiliser vos donnes, elle doit vous demander la permission. Au lieu de cela, elle oblige les utilisateurs supplier pour tre exclus. Nous avons t particulirement surpris de constater que Meta s’est mme donn la peine d’intgrer des tonnes de petites distractions pour s’assurer que seul un nombre infime d’utilisateurs prendrait la peine de s’y opposer.
Le DPC irlandais serait complice, une fois de plus
Selon les rapports, cette violation flagrante du RGPD est base sur un accord avec la Commission irlandaise de protection des donnes (la DPC est le rgulateur europen de Meta). La DPC a dj eu un accord avec Meta qui permettait l’entreprise de contourner le RGPD et qui s’est termin par une amende de 395 millions d’euros contre Meta aprs que le Conseil europen de la protection des donnes (EDPB) a annul la dcision de la DPC irlandaise.
Max Schrems : Il semble que la nouvelle direction du DPC continue conclure des accords illgaux avec de grandes entreprises technologiques amricaines. Il est ahurissant que le DPC continue de laisser libre cours l’utilisation abusive des donnes personnelles non publiques d’environ 400 millions d’utilisateurs europens ».
Date limite du 26 juin : Procdure d’urgence demande
tant donn que le traitement de Meta pour une technologie d’intelligence artificielle non divulgue est dj prvu pour prendre effet le 26 juin 2024, et que Meta affirme qu’il n’y a pas d’option de retrait un stade ultrieur pour que vos donnes soient supprimes (comme prvu par l’article 17 du RGPD et le droit l’oubli), Noyb a demand une procdure d’urgence en vertu de l’article 66 du RGPD.
Les autorits de protection des donnes (APD) de 11 pays europens (Autriche, Belgique, France, Allemagne, Grce, Italie, Irlande, Pays-Bas, Norvge, Pologne et Espagne) ont reu une telle demande au nom des personnes concernes locales. L’article 66 autorise les autorits de protection des donnes mettre des arrts prliminaires dans des situations telles que celle dcrite ci-dessus et permet une dcision l’chelle de l’UE par l’intermdiaire de l’EDPB. La DPC irlandaise et Meta Ireland ont dj fait l’objet de deux dcisions contraignantes d’urgence de l’EDPB (Janvier 2023 et Janvier 2021) dans des situations similaires.
Max Schrems : Nous esprons que les autorits en dehors de l’Irlande prendront des mesures rapides et arrteront au moins ce projet pour une enqute complte. L’EDPB a dj pris deux dcisions d’urgence de ce type l’encontre de Meta et du commissaire irlandais la protection des donnes. Il est triste de voir que cette mesure semble tre ncessaire encore et encore.
Autres problmes
Outre l’absence de toute base juridique pour aspirer plus d’une dcennie de donnes d’utilisateurs, Meta a prcdemment dclar qu’elle tait techniquement incapable de faire la distinction entre les donnes d’utilisateurs de l’UE/EEE et d’autres pays o les personnes ne bnficient pas de la protection du RGPD. Meta a galement dclar qu’elle ne pouvait pas faire la distinction entre les donnes sensibles en vertu de l’article 9 du RGPD, telles que l’appartenance ethnique, les opinions politiques, les croyances religieuses (pour lesquelles l’argument de l’intrt lgitime n’est pas disponible en vertu de la loi), et d’autres donnes pour lesquelles un intrt lgitime pourrait thoriquement tre revendiqu.
Avec l’introduction de sa technologie d’IA, Meta semble avoir viol un certain nombre d’autres dispositions du RGPD, y compris les principes du RGPD, les rgles de transparence et les rgles oprationnelles. Dans l’ensemble, les plaintes de noyb numrent des violations d’au moins les articles 5, paragraphes 1 et 2, 6, paragraphe 1, 9, paragraphe 1, 12, paragraphes 1 et 2, 13, paragraphes 1 et 2, 17, paragraphe 1, point c), 18, paragraphe 1, point d), 19, 21, paragraphe 1, et 25 du RGPD.
Max Schrems : Avec l’approche consistant utiliser simplement n’importe quelles donnes n’importe quelle fin pour n’importe quelle technologie d’IA, Meta a clairement quitt la quasi-totalit du cadre du RGPD. Nous avons recens des violations d’au moins dix articles de la loi.
Prochaines tapes
Les autorits de protection des donnes concernes vont maintenant devoir prendre rapidement la dcision de lancer une procdure d’urgence ou de traiter les plaintes dans le cadre d’une procdure normale. Il y a deux jours, l’autorit norvgienne de protection des donnes a dj publi un billet de blog dans lequel elle affirme qu’il est douteux (« tvilsomt« ) que l’approche de Meta soit lgale. Une procdure d’urgence pourrait conduire une interdiction provisoire rapide et une dcision finale de l’EDPB en l’espace de quelques mois.
Si les plaintes dposes aujourd’hui constituent une premire tape, il semble plausible que d’autres organisations fassent suivre ces plaintes d’injonctions, d’actions civiles ou mme d’actions collectives, si Meta va de l’avant avec ses projets. elles seules, les actions de Noyb contre Meta ont jusqu’ prsent donn lieu des amendes administratives de plus de 1,5 milliard d’euros. Noyb prvoit galement de dposer des plaintes dans les autres tats membres de l’UE dans les jours venir.
Source : Noyb
Et vous ?
Pensez-vous que ces plaintes sont crdibles ou pertinentes ?
Quel est votre avis sur le sujet ?
Voir aussi :