Le projet de Meta d'utiliser des données personnelles pour entraîner ses modèles d'intelligence artificielle (IA) sans demander de consentement a été critiqué par le groupe de défense NOYB, qui a appelé les responsables de la protection de la vie privée à travers l'Europe à mettre fin à une telle utilisation. NOYB (none of your business) a exhorté les organismes nationaux de protection de la vie privée à agir immédiatement, estimant que les récents changements apportés à la politique de confidentialité de Meta, qui entreront en vigueur le 26 juin, lui permettraient d'utiliser des années de messages personnels, d'images privées ou de données de suivi en ligne pour la technologie d'intelligence artificielle de l'entreprise propriétaire de Facebook.
Le groupe de défense a déclaré avoir déposé 11 plaintes contre Meta et demandé aux autorités de protection des données en Autriche, en Belgique, en France, en Allemagne, en Grèce, en Italie, en Irlande, aux Pays-Bas, en Norvège, en Pologne et en Espagne de lancer une procédure d'urgence en raison de l'imminence des changements. Meta a rejeté les critiques de NOYB et s'est référé à un blog du 22 mai dans lequel elle a déclaré qu'elle utilisait des informations en ligne et sous licence accessibles au public pour former l'IA, ainsi que des informations que les gens ont partagées publiquement sur ses produits et services.
Toutefois, un message envoyé aux utilisateurs de Facebook indique que Meta peut encore traiter des informations sur des personnes qui n'utilisent pas ses produits et services et n'ont pas de compte si elles apparaissent dans une image ou sont mentionnées dans des messages ou des légendes partagés par un utilisateur. "Nous sommes convaincus que notre approche est conforme aux lois sur la protection de la vie privée et qu'elle est cohérente avec la manière dont d'autres entreprises technologiques développent et améliorent leurs expériences en matière d'IA en Europe (notamment Google et Open AI)", a déclaré un porte-parole.
Noyb appel les autorités de l'UE à mettre un terme à l'utilisation abusive des données personnelles par Meta
Ces derniers jours, Meta a informé des millions d'Européens que sa politique de confidentialité changeait une fois de plus. Ce n'est qu'en examinant de plus près les liens figurant dans la notification qu'il est apparu clairement que l'entreprise prévoit d'utiliser des années de messages personnels, d'images privées ou de données de suivi en ligne pour une "technologie d'IA" non définie qui peut ingérer des données personnelles provenant de n'importe quelle source et partager n'importe quelle information avec des "tiers" non définis.
Au lieu de demander le consentement des utilisateurs (opt-in), Meta fait valoir un intérêt légitime qui l'emporte sur le droit fondamental à la protection des données et à la vie privée des utilisateurs européens. Une fois leurs données dans le système, les utilisateurs semblent n'avoir aucune possibilité de les supprimer ("droit à l'oubli". Noyb a déposé des plaintes dans 11 pays européens, demandant aux autorités de lancer une procédure d'urgence pour mettre fin à ce changement immédiatement, avant qu'il n'entre en vigueur le 26 juin 2024.
Toutes les données non publiques pour une future "technologie d'IA" non définie
Contrairement à la situation déjà problématique des entreprises qui utilisent certaines données (publiques) pour former un système d'IA spécifique (par exemple un chatbot), la nouvelle politique de confidentialité de Meta indique essentiellement que l'entreprise souhaite prendre toutes les données publiques et non publiques des utilisateurs qu'elle a collectées depuis 2007 et les utiliser pour tout type indéfini de "technologie d'intelligence artificielle" actuelle et future. Cela inclut les nombreux comptes Facebook "dormants" avec lesquels les utilisateurs n'interagissent presque plus, mais qui contiennent encore d'énormes quantités de données personnelles.
En outre, Meta affirme pouvoir collecter des informations supplémentaires auprès de tout "tiers" ou racler des données à partir de sources en ligne. La seule exception semble être les chats entre particuliers, mais même les chats avec une entreprise sont concernés. Les utilisateurs ne reçoivent aucune information sur les objectifs de la "technologie d'IA", ce qui va à l'encontre des exigences du RGPD. La politique de confidentialité de Meta autoriserait théoriquement n'importe quelle finalité.
Ce changement est particulièrement inquiétant parce qu'il concerne les données personnelles d'environ 4 milliards d'utilisateurs de Meta, qui seront utilisées pour une technologie expérimentale pratiquement sans limite. Au moins, les utilisateurs de l'UE/EEE devraient (en théorie) être protégés contre de tels abus par le RGPD.
Max Schrems, fondateur de NOYB déclare :
Meta dit en fait qu'il peut utiliser "n'importe quelle donnée provenant de n'importe quelle source pour n'importe quel usage et la mettre à la disposition de n'importe qui dans le monde", à condition que ce soit par le biais d'une "technologie d'intelligence artificielle". Il s'agit clairement de l'opposé de la conformité au RGPD. L'expression "technologie d'IA" est extrêmement large. Tout comme "l'utilisation de vos données dans des bases de données", il n'y a pas de limite légale réelle. Meta ne dit pas à quoi serviront les données, il pourrait donc s'agir d'un simple chatbot, d'une publicité personnalisée extrêmement agressive ou même d'un drone tueur. Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n'importe quel "tiers", c'est-à-dire n'importe qui dans le monde.
Normalement, le traitement des données personnelles dans l'Union européenne est illégal par défaut. Par conséquent, Meta doit s'appuyer sur l'une des six bases juridiques prévues à l'article 6, paragraphe 1, du RGPD pour traiter les données à caractère personnel. Bien que le choix logique soit le consentement explicite, Meta prétend à nouveau qu'il a un "intérêt légitime" qui l'emporte sur les droits fondamentaux des utilisateurs.
Meta a déjà fait valoir cet argument dans le contexte de l'utilisation de toutes les données personnelles à des fins publicitaires et a été rejeté par la Cour de justice. Aujourd'hui, Meta utilise la même base juridique pour justifier une utilisation encore plus large et plus agressive des données personnelles des utilisateurs.
Max Schrems : La Cour de justice des Communautés européennes a déjà clairement indiqué que Meta n'avait pas d' intérêt légitime à faire prévaloir sur le droit des utilisateurs à la protection des données lorsqu'il s'agit de publicité. Pourtant, l'entreprise tente d'utiliser les mêmes arguments pour la formation à une technologie d'IA non définie. Il semble que Meta ignore une fois de plus de manière flagrante les arrêts de la CJUE.
Meta tente même de rendre les utilisateurs responsables de la protection de leur vie privée en les dirigeant vers un formulaire d'objection (opt-out) que les utilisateurs sont censés remplir s'ils ne veulent pas que Meta utilise toutes leurs données. Alors qu'en théorie, l'opt-out pourrait être mis en œuvre de telle sorte qu'il ne nécessite qu'un seul clic (comme le bouton se désinscrire dans les lettres d'information), Meta rend l'objection extrêmement compliquée, même pour des raisons personnelles.
Une analyse technique des liens d'exclusion a même montré que Meta exige une connexion pour consulter une page par ailleurs publique. Au total, Meta demande à quelque 400 millions d'utilisateurs européens de s'opposer, au lieu de leur demander leur consentement.
Max Schrems : Reporter la responsabilité sur l'utilisateur est complètement absurde. La loi exige que Meta obtienne le consentement de l'utilisateur, et non qu'il fournisse un formulaire d'exclusion caché et trompeur. Si Meta veut utiliser vos données, elle doit vous demander la permission. Au lieu de cela, elle oblige les utilisateurs à supplier pour être exclus. Nous avons été particulièrement surpris de constater que Meta s'est même donné la peine d'intégrer des tonnes de petites distractions pour s'assurer que seul un nombre infime d'utilisateurs prendrait la peine de s'y opposer.
Le DPC irlandais serait complice, une fois de plus
Selon les rapports, cette violation flagrante du RGPD est basée sur un accord avec la Commission irlandaise de protection des données (la DPC est le régulateur européen de Meta). La DPC a déjà eu un accord avec Meta qui permettait à l'entreprise de contourner le RGPD et qui s'est terminé par une amende de 395 millions d'euros contre Meta après que le Conseil européen de la protection des données (EDPB) a annulé la décision de la DPC irlandaise.
Max Schrems : Il semble que la nouvelle direction du DPC continue à conclure des accords illégaux avec de grandes entreprises technologiques américaines. Il est ahurissant que le DPC continue de laisser libre cours à l'utilisation abusive des données personnelles non publiques d'environ 400 millions d'utilisateurs européens".
Étant donné que le traitement de Meta pour une technologie d'intelligence artificielle non divulguée est déjà prévu pour prendre effet le 26 juin 2024, et que Meta affirme qu'il n'y a pas d'option de retrait à un stade ultérieur pour que vos données soient supprimées (comme prévu par l'article 17 du RGPD et le droit à l'oubli), Noyb a demandé une procédure d'urgence en vertu de l'article 66 du RGPD.
Les autorités de protection des données (APD) de 11 pays européens (Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) ont reçu une telle demande au nom des personnes concernées locales. L'article 66 autorise les autorités de protection des données à émettre des arrêts préliminaires dans des situations telles que celle décrite ci-dessus et permet une décision à l'échelle de l'UE par l'intermédiaire de l'EDPB. La DPC irlandaise et Meta Ireland ont déjà fait l'objet de deux décisions contraignantes d'urgence de l'EDPB (Janvier 2023 et Janvier 2021) dans des situations similaires.
Max Schrems : Nous espérons que les autorités en dehors de l'Irlande prendront des mesures rapides et arrêteront au moins ce projet pour une enquête complète. L'EDPB a déjà pris deux décisions d'urgence de ce type à l'encontre de Meta et du commissaire irlandais à la protection des données. Il est triste de voir que cette mesure semble être nécessaire encore et encore.
Outre l'absence de toute base juridique pour aspirer plus d'une décennie de données d'utilisateurs, Meta a précédemment déclaré qu'elle était techniquement incapable de faire la distinction entre les données d'utilisateurs de l'UE/EEE et d'autres pays où les personnes ne bénéficient pas de la protection du RGPD. Meta a également déclaré qu'elle ne pouvait pas faire la distinction entre les données sensibles en vertu de l'article 9 du RGPD, telles que l'appartenance ethnique, les opinions politiques, les croyances religieuses (pour lesquelles l'argument de l'intérêt légitime n'est pas disponible en vertu de la loi), et d'autres données pour lesquelles un intérêt légitime pourrait théoriquement être revendiqué.
Avec l'introduction de sa technologie d'IA, Meta semble avoir violé un certain nombre d'autres dispositions du RGPD, y compris les principes du RGPD, les règles de transparence et les règles opérationnelles. Dans l'ensemble, les plaintes de noyb énumèrent des violations d'au moins les articles 5, paragraphes 1 et 2, 6, paragraphe 1, 9, paragraphe 1, 12, paragraphes 1 et 2, 13, paragraphes 1 et 2, 17, paragraphe 1, point c), 18, paragraphe 1, point d), 19, 21, paragraphe 1, et 25 du RGPD.
Max Schrems : Avec l'approche consistant à utiliser simplement n'importe quelles données à n'importe quelle fin pour n'importe quelle technologie d'IA, Meta a clairement quitté la quasi-totalité du cadre du RGPD. Nous avons recensé des violations d'au moins dix articles de la loi.
Les autorités de protection des données concernées vont maintenant devoir prendre rapidement la décision de lancer une procédure d'urgence ou de traiter les plaintes dans le cadre d'une procédure normale. Il y a deux jours, l'autorité norvégienne de protection des données a déjà publié un billet de blog dans lequel elle affirme qu'il est douteux ("tvilsomt" que l'approche de Meta soit légale. Une procédure d'urgence pourrait conduire à une interdiction provisoire rapide et à une décision finale de l'EDPB en l'espace de quelques mois.
Si les plaintes déposées aujourd'hui constituent une première étape, il semble plausible que d'autres organisations fassent suivre ces plaintes d'injonctions, d'actions civiles ou même d'actions collectives, si Meta va de l'avant avec ses projets. À elles seules, les actions de Noyb contre Meta ont jusqu'à présent donné lieu à des amendes administratives de plus de 1,5 milliard d'euros. Noyb prévoit également de déposer des plaintes dans les autres États membres de l'UE dans les jours à venir.
Source : Noyb
Et vous ?
Pensez-vous que ces plaintes sont crédibles ou pertinentes ?
Quel est votre avis sur le sujet ?
Voir aussi :
Meta accusé d'avoir procédé à une collecte massive et illégale de données en Europe, suite à sa fonctionnalité demandant aux utilisateurs de payer ou de consentir aux publicités ciblés
Chaque utilisateur de Facebook est surveillé par des milliers d'entreprises, selon les résultats d'une enquête. Qui envoie des informations sur votre activité en ligne à Meta ?
Les entreprises d'IA sont-elles à court de données pour entraîner leurs modèles après avoir englouti l'ensemble de l'Internet ? Un rapport alerte sur une potentielle pénurie de données