Ce mois-ci, les utilisateurs européens des applications mobiles Instagram et Facebook ont reçu un nouveau message les avertissant que leurs publications publiques pourraient servir à entraîner l’intelligence artificielle (IA) à partir du 26 juin.
L’entraînement de l’IA : vers une évolution technologique ou une atteinte à la vie privée ?
À partir du 26 juin, les messages, photos, légendes et messages envoyés à une IA, sauf le contenu des messages privés, seront exploités pour développer et améliorer les technologies d’IA de Meta. Cette décision soulève de nombreuses questions concernant la conformité au Règlement Général sur la Protection des Données (RGPD) et les implications sur la vie privée des utilisateurs. Revenons sur la décision de Meta, ses justifications, les réactions des régulateurs et les possibles conséquences pour les utilisateurs.
Légitimité et conformité au RGPD
Selon le RGPD, une entreprise peut traiter des données personnelles si elle a un intérêt légitime. Meta invoque cette base légale pour justifier l’utilisation des données publiques afin de développer et d’améliorer ses IA. Cependant, cette pratique est-elle vraiment conforme aux exigences strictes du RGPD ? Le règlement stipule que les utilisateurs doivent être clairement informés des fins du traitement de leurs données et avoir la possibilité de donner leur consentement éclairé.
Meta propose aux utilisateurs de s’opposer à cette utilisation via un formulaire, mais cette procédure semble actuellement indisponible sur Facebook et Instagram. Même si une opposition est formulée, les données pourraient toujours être utilisées si l’utilisateur apparaît dans une image partagée ou est mentionné dans les publications d’autres utilisateurs.
La Commission irlandaise de Protection des Données (DPC) a contribué à retarder la mise en œuvre de cette initiative en menant plusieurs enquêtes approfondies sur les pratiques de Meta. En réponse à ces enquêtes, Meta a été contraint de donner un préavis de quatre semaines aux utilisateurs avant de commencer à utiliser leurs données pour l’entraînement de ses intelligences artificielles.
Seuls les messages, photos et autres contenus partagés publiquement par des utilisateurs adultes résidant dans l’Union Européenne seront inclus dans ce processus. Les comptes appartenant à des mineurs, c’est-à-dire des utilisateurs de moins de 18 ans, sont expressément exclus de cette collecte de données. Cette exclusion vise à protéger les jeunes utilisateurs et à se conformer aux réglementations strictes sur la protection des données personnelles des mineurs.
Les intérêts de Meta vs. les droits des utilisateurs
Meta investit massivement dans la recherche et le développement de l’IA, comme en témoigne le lancement de son modèle de langage, Llama 3, en avril. Ce modèle, ainsi que d’autres développements comme les puces personnalisées pour les charges de travail liées à l’IA, sont des preuves de l’investissement et de la forte implication de Meta dans ce domaine.
Cependant, cette stratégie d’entraînement des IA à partir des données des utilisateurs semble déclencher des inquiétudes croissantes en Europe. En effet, l’organisation autrichienne de défense de la vie privée NOYB a déposé des plaintes dans 11 pays européens, affirmant que Meta utilise les données des utilisateurs sans fournir d’informations claires sur les objectifs de cette « technologie de l’IA ». Selon Max Schrems, avocat et militant de NOYB, Meta prétend pouvoir utiliser toutes les données pour n’importe quelle fin et les partager avec des tiers non définis, ce qui va à l’encontre des principes du RGPD.
Le traitement des données personnelles dans l’UE est généralement illégal par défaut, à moins de se conformer à l’une des bases légales du RGPD. Le consentement explicite des utilisateurs est la voie la plus logique, mais Meta avance un « intérêt légitime » qui, selon elle, prévaut sur les droits des utilisateurs. Cette approche a été rejetée par la Cour de Justice de l’Union Européenne (CJUE) dans le cadre de l’utilisation des données pour la publicité, et il est probable qu’elle soit également contestée dans le contexte de l’IA.
Le processus d’opposition proposé par Meta est complexe et décourageant pour les utilisateurs, nécessitant des raisons personnelles détaillées. NOYB critique cette approche, soulignant que la loi exige un consentement préalable et non une opposition après coup. De plus, des analyses techniques montrent que l’accès à la page d’opposition nécessite un login, ajoutant une couche de complexité inutile.
Le mille feuilles administratif européen : un frein à l’efficacité
La Commission de Protection des Données (DPC), qui est le régulateur principal de Meta au sein de l’Union Européenne, a souvent été critiquée pour ses accords perçus comme favorables aux géants technologiques, permettant ainsi des contournements du Règlement Général sur la Protection des Données (RGPD). Ces critiques soulignent que ces arrangements pourraient affaiblir l’application rigoureuse des normes de protection des données.
Par exemple, malgré une amende substantielle de 395 millions d’euros infligée à Meta, qui a été décidée après l’intervention du Comité Européen de la Protection des Données (EDPB), la DPC continue d’être perçue comme facilitant les stratégies controversées de Meta. Cette perception est alimentée par des décisions et des actions de la DPC qui semblent parfois privilégier les intérêts des entreprises technologiques au détriment de la stricte protection des données personnelles des utilisateurs européens.
Du coup, face à l’entrée en vigueur imminente de la nouvelle politique de Meta, NOYB a donc demandé une procédure d’urgence conformément à l’article 66 du RGPD. Cette procédure permet aux autorités de protection des données d’émettre des interdictions préliminaires en cas de risque grave pour les droits des utilisateurs. Les autorités de protection des données de plusieurs pays européens ont déjà reçu cette demande, et des actions supplémentaires, telles que des injonctions ou des recours collectifs, pourraient suivre.
Cependant, Meta a admis ne pas pouvoir distinguer techniquement les données des utilisateurs de l’UE/EEE de celles d’autres régions, ni identifier les données sensibles protégées par l’article 9 du RGPD. Cette incapacité pourrait entraîner de multiples violations du RGPD, y compris des principes de transparence et des règles opérationnelles.
L’expansion rapide de l’intelligence artificielle (IA) représente un danger identifié pour la vie privée et le droit à la confidentialité. À mesure que les technologies d’IA deviennent plus avancées, la quantité de données personnelles nécessaires pour entraîner ces systèmes augmente également. Cela entraîne une collecte et une utilisation massives de données personnelles, souvent sans le consentement explicite des utilisateurs. Les risques incluent la surveillance accrue, la perte de contrôle sur ses propres informations et l’exploitation des données sensibles à des fins commerciales ou autres.
Si des garde-fous rigoureux ne sont pas mis en place et respectés, les avancées en IA pourraient éroder de manière irréversible les droits fondamentaux à la vie privée, menaçant ainsi les libertés individuelles et la confiance déjà bien entamée dans les technologies numériques.
Connexe : La course aux GPU : l’arme secrète derrière l’Intelligence Artificielle
