La plateforme X d'Elon Musk visée par neuf plaintes de NOYB relatives à la protection de la vie privée

Après s'être emparée des données d'utilisateurs de l'UE pour former son IA Grok

Après l'action en justice en Irlande, la plateforme X d'Elon Musk fait maintenant face aux plaintes de Noyb dans 9 pays de l'Union européenne. Il est reproché à la plateforme de médias sociaux de s'être emparée de données d'utilisateurs de l'UE afin d'entraîner l'IA Grok sans leur consentement. Noyb a demandé une "procédure d'urgence", car ce que la plateforme fait est une violation du RGPD à grande échelle.

Récemment, la Commission de protection des données en Irlande (DPC) a engagé une procédure judiciaire à l'encontre de la plateforme X. La DPC indique que ses préoccupations portent sur l'utilisation des données d'utilisateurs dans l'Union européenne/l'Espace économique européen, pour former les systèmes d'intelligence artificielle utilisés par X, y compris son outil de recherche amélioré connu sous le nom de Grok.

La DPC est également préoccupé par l'intention de la plateforme X de lancer la prochaine version de Grok, qui aurait été formée en utilisant les données personnelles des utilisateurs de l'UE/EEE. Selon la DPC, cela aggraverait les difficultés liées au traitement des données en question. Il est également affirmé que la plateforme X a refusé les demandes de la DPC de cesser le traitement des données personnelles en question ou de reporter le lancement de la prochaine édition de "Grok". Afin de clarifier la légalité du traitement des données des utilisateurs par Twitter International, la DPC a également l'intention de saisir le Conseil européen de la protection des données pour examen.

Suite à cela, le groupe de défense autrichien NOYB a déposé une plainte contre la plateforme de médias sociaux X, accusant la société détenue par Elon Musk d'entraîner son intelligence artificielle (IA) avec les données personnelles des utilisateurs sans leur consentement, en violation de la législation européenne sur la protection de la vie privée. Le groupe dirigé par le militant de la vie privée Max Schrems a annoncé qu'il avait déposé des plaintes au titre du règlement général sur la protection des données (RGPD) auprès des autorités de neuf pays de l'Union européenne afin d'accentuer la pression sur l'autorité irlandaise chargée de la protection des données, la DPC.


La Commission irlandaise de protection des données, principal régulateur de l'UE pour la plupart des grandes entreprises américaines de l'internet en raison de l'emplacement de leurs opérations européennes dans le pays, a demandé une ordonnance pour suspendre ou restreindre le traitement par X des données des utilisateurs à des fins de développement, d'entraînement ou d'affinement de ses systèmes d'IA. X a accepté de ne pas former ses systèmes d'intelligence artificielle en utilisant des données personnelles collectées auprès d'utilisateurs de l'UE avant qu'ils n'aient eu la possibilité de retirer leur consentement.

Cependant, NOYB a déclaré que la plainte de la DPC concernait principalement les mesures d'atténuation et le manque de coopération de la part de X, et ne remettait pas en question la légalité du traitement des données lui-même. "Nous voulons nous assurer que Twitter respecte pleinement la législation de l'UE, qui exige - au minimum - de demander le consentement des utilisateurs dans ce cas", a déclaré M. Schrems dans un communiqué, en faisant référence à X sous son ancien nom.

Lors de l'audience face à la DPC, un tribunal irlandais a estimé que X n'avait donné à ses utilisateurs la possibilité de s'opposer que plusieurs semaines après le début de la collecte des données. Le compte X Global Government Affairs a déclaré que l'entreprise continuerait à travailler avec la DPC sur les questions liées à l'IA.

Pour rappel, en juin, Meta, la société mère de Facebook, a annoncé qu'elle ne lancerait pas son assistant d'intelligence artificielle en Europe pour le moment, après que la DPC irlandaise lui a demandé de retarder son projet. NOYB avait déposé des plaintes dans plusieurs pays contre l'utilisation de données personnelles pour former le logiciel dans ce cas également.

La plateforme de médias sociaux X fait l'objet de 9 nouvelles plaintes par Noyb au titre du RGPD

Pour Noyb, Twitter International (aujourd'hui rebaptisé "X" a commencé à utiliser illégalement les données personnelles de plus de 60 millions d'utilisateurs dans l'UE/EEE pour former ses technologies d'IA (comme "Grok" sans leur consentement. Contrairement à Meta (qui a récemment dû mettre fin à l'entraînement à l'IA dans l'UE), Twitter n'a même pas informé ses utilisateurs à l'avance.

Si la Commission irlandaise de protection des données (DPC) a lancé une procédure judiciaire contre Twitter pour mettre fin au traitement illégal, Noyb estime que la DPC s'est arrêtée avant d'appliquer pleinement le RGPD. Pour faire suite à cette initiative, Noyb a déposé neuf plaintes et a partagé les raisons qui ont poussé le groupe de défense à déposer les plaintes contre la plateforme X.

Les données personnelles de 60 millions de personnes pour entraîner l'IA ? Comme si la tentative ratée de Meta d'utiliser illégalement les données personnelles des gens pour des projets d'IA n'avait pas envoyé un message suffisamment clair, X est la prochaine entreprise américaine à aspirer les données des utilisateurs de l'UE pour entraîner l'IA. En mai 2024, X a commencé à intégrer de manière irréversible les données des utilisateurs européens dans sa technologie d'IA "Grok", sans jamais les en informer ni leur demander leur consentement.

La DPC irlandaise prend des mesures timides. L'ignorance flagrante de la loi par X a suscité une réponse surprenante de la part de la DPC irlandaise (notoirement pro-entreprises) : l'autorité a engagé une action en justice contre Twitter pour mettre fin au traitement illégal et faire appliquer une ordonnance de mise en conformité de ses systèmes avec le RGPD.

Cependant, une audience du tribunal a révélé que la DPC semble avoir été principalement préoccupé par les mesures dites "d'atténuation" et par le fait que X a commencé le traitement tout en étant encore dans un processus de consultation obligatoire avec la DPC en vertu de l'article 36 du RGPD. Noyb en conclue que la DPC ne semble pas s'intéresser aux violations fondamentales.


Noyb demande une enquête approfondie. Dès la première audience, la DPC irlandaise s'est entendu avec X (par le biais d'un "engagement" pour suspendre jusqu'en septembre l'entraînement de l'algorithme avec les données de l'UE. Pour Noyb, aucune décision sur la légalité n'a été prise et de nombreuses questions restent sans réponse. Par exemple : Qu'est-il advenu des données européennes déjà intégrées dans les systèmes et comment X peut-il (correctement) séparer les données européennes des données non européennes ?

Pour cette raison, Noyb a déposé des plaintes RGPD auprès des autorités de protection des données de neuf pays, afin de s'assurer que les problèmes juridiques fondamentaux autour de l'entraînement à l'IA de Twitter soient entièrement résolus. Plus les autres autorités de protection des données de l'UE s'impliqueront dans la procédure, plus la pression exercée sur l'autorité irlandaise de protection des données sera forte et plus X devra se conformer à la législation de l'UE.

Pour Noyb, il suffit de demander aux utilisateurs ! Le RGPD de l'UE offre une solution simple pour que les utilisateurs puissent "faire don" de leurs données personnelles pour le développement de l'IA : il suffit de demander aux utilisateurs leur consentement clair à un tel traitement. Si un petit nombre des 60 millions d'utilisateurs de X consentait à l'entraînement de ses systèmes d'IA, X disposerait de suffisamment de données d'entraînement pour n'importe quel nouveau modèle d'IA.

Mais selon Noyb, X n'a pas l'intention de demander l'autorisation des utilisateurs. Au lieu de cela, il se contente de prendre les données des utilisateurs sans les informer et sans leur demander l'autorisation.

Les intérêts commerciaux l'emportent-ils sur les droits fondamentaux des utilisateurs ? Avec tout cela, Noyb se pose la question. Normalement, le traitement des données à caractère personnel est illégal par défaut dans l'Union européenne. Par conséquent, pour traiter des données personnelles, X doit s'appuyer sur l'une des six bases juridiques prévues à l'article 6, paragraphe 1, du RGPD.

Bien que le choix logique soit le consentement explicite, X - tout comme Meta - affirme qu'il a un "intérêt légitime" qui l'emporte sur les droits fondamentaux des utilisateurs. Noyob rappelle que cette approche a déjà été rejetée par la Cour de justice dans une affaire concernant l'utilisation par Meta de données personnelles à des fins de publicité ciblée. Cependant, il semble que la DPC irlandaise ait, au cours des derniers mois, "négocié" sur l'approche de l'"intérêt légitime" dans le cadre d'une procédure de "consultation" au titre de l'article 36 du RGPD.

Informations fournies par le biais d'un message X "viral". Selon Noyb, X n'a jamais informé ses utilisateurs de manière proactive que leurs données personnelles étaient utilisées pour entraîner l'IA - même s'il leur envoie des notifications chaque fois que quelqu'un aime ou retweete leurs messages. Au contraire, il semble que la plupart des gens aient découvert le nouveau paramètre par défaut grâce à un message viral d'un utilisateur nommé "@EasyBakedOven" le 26 juillet 2024, soit plus de deux mois après le début...