Des clients de LinkedIn Premium poursuivent la plateforme de médias sociaux, alléguant qu'elle a partagé leurs messages privés avec des tiers sans leur consentement afin d'entraîner des modèles d'intelligence artificielle. En août dernier, LinkedIn a « ostensiblement » offert aux utilisateurs la possibilité d'activer une nouvelle fonction de confidentialité déterminant si leurs données personnelles pouvaient être partagées, mais a activé les autorisations par défaut, selon la proposition de recours collectif, déposée auprès d'un tribunal fédéral californien. La modification n'a pas été communiquée dans les conditions de service ou la politique de confidentialité du géant des médias sociaux avant qu'elle ne soit effectuée. LinkedIn, dont le siège se trouve dans la Silicon Valley, appartient à Microsoft.Contexte
En septembre, le réseau professionnel de Microsoft a publié une mise à jour « confiance et sécurité » dans laquelle Blake Lawit, vice-président senior et avocat général, a révélé l'utilisation par LinkedIn des publications et des données des utilisateurs pour la formation et le déploiement de ses outils d'IA générative.
Dans son annonce, Lawit a indiqué que la politique de confidentialité de LinkedIn avait été mise à jour. La politique mise à jour, qui renvoie à une FAQ révisée, confirme également que les messages ont été automatiquement collectés pour l'entraînement à l'IA. Il semble que LinkedIn ait commencé à collecter du contenu pour ses modèles d'IA et ses utilisateurs bien avant que l'article de Lawit et la politique de confidentialité mise à jour ne rendent ces changements publics.
Selon la FAQ, les fonctionnalités d'IA générative de LinkedIn peuvent utiliser des informations personnelles pour offrir des suggestions, comme vous aider à rédiger des messages lorsque vous y êtes invité. En outre, vos données seront utilisées pour former ces modèles d'IA, et si vous préférez ne pas participer, vous devrez vous désengager activement.
Les utilisateurs de l'Union européenne, de l'Islande, de la Norvège, du Liechtenstein et de la Suisse ne sont pas inclus et ne seront pas ajoutés en raison des récents changements apportés aux lois sur la protection des données. La loi sur les marchés numériques (DMA) oblige certains des plus grands réseaux sociaux à se conformer à de nouvelles règles, ce qui permet aux gens d'utiliser les plateformes sans que leurs informations ne soient partagées.
S'il est possible de se désinscrire, la plateforme a précisé : « le fait de vous désinscrire signifie que Linkedin et ses sociétés affiliées n'utiliseront pas vos données personnelles pour former des modèles à l'avenir. Mais cela n'affecte pas la formation qui a déjà eu lieu ». Concrètement, toutes les données qui ont déjà été utilisées par Linkedin pour son IA continueront à être utilisés par l'outil.
Les accusations contre LinkedIn
Selon une proposition de recours collectif déposée au nom de millions de clients LinkedIn Premium, LinkedIn a discrètement introduit un paramètre de confidentialité en août dernier qui permettait aux utilisateurs d'activer ou de désactiver le partage de leurs données personnelles.
Après que des articles de presse ont révélé que le paramètre était activé par défaut, les clients ont fait beaucoup de bruit sur les réseaux sociaux, ce qui a incité LinkedIn à mettre à jour sa politique de confidentialité en informant ses clients de cette pratique.
Cependant, selon la plainte, la société a « dissimulé une information cruciale » dans une foire aux questions (FAQ) accessible par un lien hypertexte dans la politique de confidentialité, selon la plainte, indiquant que les messages des utilisateurs pouvaient également être utilisés pour former des modèles d'intelligence artificielle par un fournisseur tiers non nommé, potentiellement en dehors de Microsoft.
Cette divulgation, qui n'aurait été faite que dans la FAQ, suggère que LinkedIn était « conscient que ses conditions précédentes n'autorisaient pas ces pratiques et tentait d'éviter un examen plus approfondi », selon l'action en justice. Les utilisateurs ne peuvent accéder à la page de la FAQ contenant cette information qu'en lisant la politique de confidentialité et en cliquant sur un lien, selon l'action en justice.
LinkedIn ayant également reconnu que les données des utilisateurs étaient partagées avec des tiers « affiliés » au sein de sa « structure d'entreprise », l'action en justice soutient que les messages privés des utilisateurs pourraient alimenter d'autres modèles d'intelligence artificielle de Microsoft.
LinkedIn a également indiqué dans la FAQ que l'entraînement du modèle d'IA qui avait déjà été alimenté par les messages des utilisateurs ne pouvait pas être inversé, selon l'action en justice.
La plateforme « abandonne le jeu avec cette déclaration - elle indique que les informations personnelles des utilisateurs de LinkedIn sont déjà intégrées dans des modèles d'IA génératifs et ne seront pas supprimées, qu'ils choisissent ou non de ne pas les divulguer à l'avenir », affirme la plainte.
Cette tentative de « brouiller les pistes » suggère que LinkedIn était parfaitement conscient qu'il violait la vie privée de ses clients et sa promesse de n'utiliser les données personnelles que pour soutenir et améliorer sa plateforme, afin de minimiser l'attention du public et les retombées juridiques, selon la plainte.
L'entreprise accusée d'avoir cherché à brouiller les pistes
Ci-dessous un extrait de la plainte
LinkedIn a été dénoncé pour avoir divulgué des données d'utilisateurs à des tiers afin d'entraîner des modèles d'IA génératifs, puis a tenté de brouiller les pistes
LinkedIn propose des services gratuits et des services « Premium » (payants). Tous les utilisateurs doivent accepter le contrat d'utilisation et la politique de confidentialité lorsqu'ils ouvrent un compte. Les clients Premium acceptent des conditions supplémentaires, y compris des protections accrues de la vie privée, qui sont détaillées ci-dessous.
En août 2024, LinkedIn a discrètement introduit un nouveau paramètre de confidentialité dans son menu de paramètres (illustré ci-dessous), qui permettait ostensiblement aux utilisateurs d'activer ou de désactiver le partage de leurs données personnelles à des fins d'entraînement de modèles d'IA générative.
Ce paramètre était activé par défaut, optant automatiquement pour un programme qui permettait à LinkedIn et à ses « affiliés » d'entraîner des modèles d'IA génératifs avec les données personnelles des utilisateurs.
Le 18 septembre 2024, de nombreux médias ont fait état de ce nouveau paramètre de confidentialité et ont interrogé un porte-parole de LinkedIn sur les raisons pour lesquelles LinkedIn n'avait pas divulgué son partage des données personnelles des utilisateurs pour la formation à l'IA générative dans ses conditions de service. LinkedIn a répondu par une déclaration : « Nous partagerons prochainement avec nos membres une mise à jour de nos conditions d'utilisation. »
Le même jour, le 18 septembre 2024, LinkedIn a discrètement mis à jour sa politique de confidentialité, en ajoutant une description de son traitement des données des utilisateurs à des fins d'IA générative.
Les modifications apportées par le défendeur semblent reconnaître que la divulgation des données des utilisateurs a dépassé la portée de son consentement initial au traitement des données des utilisateurs, comme en témoignent les modifications indiquées ci-dessous en tant que changements suivis :
Plus particulièrement, LinkedIn a caché une information cruciale dans un hyperlien « FAQ » (en italique ci-dessus) plutôt que dans la politique de confidentialité : « Les modèles d'intelligence artificielle que LinkedIn utilise pour alimenter les fonctions d'IA générative peuvent être formés par LinkedIn ou un autre fournisseur » (accentuation ajoutée). Le fait d'admettre que les données peuvent être divulguées à « un autre fournisseur » dans ce document secondaire suggère que LinkedIn était conscient que ses conditions précédentes n'autorisaient pas ces pratiques et qu'il tentait d'éviter un examen plus approfondi.
En outre, la FAQ précise : « Le retrait signifie que LinkedIn et ses affiliés n'utiliseront pas vos données personnelles ou le contenu de LinkedIn pour former des modèles à l'avenir, mais n'affecte pas la formation qui a déjà eu lieu. » LinkedIn abandonne la partie avec cette déclaration - elle indique que les informations personnelles des utilisateurs de LinkedIn sont déjà intégrées dans les modèles d'IA générative et ne seront pas supprimées, qu'ils se désistent ou non des divulgations futures.
Cette modification de sa politique de confidentialité viole également la promesse de LinkedIn de ne pas mettre à jour les termes de sa politique de confidentialité sans d'abord notifier les utilisateurs du changement imminent et leur donner la possibilité d'annuler leur compte s'ils s'y opposent[...].
Dans un nouveau tour de passe-passe, LinkedIn a discrètement modifié une déclaration dans la FAQ susmentionnée. La version précédente de la FAQ indiquait : « Lorsque LinkedIn entraîne des modèles d'IA générative, nous cherchons à minimiser les données personnelles dans les ensembles de données utilisés pour entraîner les modèles, y compris en utilisant des technologies d'amélioration de la confidentialité pour expurger ou supprimer les données personnelles de l'ensemble de données d'entraînement. »
Le 1er octobre 2024 ou autour de cette date, LinkedIn a supprimé les mots « y compris en utilisant des technologies d'amélioration de la confidentialité pour expurger ou supprimer les données personnelles de l'ensemble de données d'entraînement ». En d'autres termes, LinkedIn n'entreprend pas réellement les actions de protection de la vie privée qu'il a promis aux utilisateurs de mettre en œuvre après avoir divulgué illégalement leurs données personnelles pour entraîner des modèles d'IA générative.
Les actions de LinkedIn, y compris l'introduction discrète d'un nouveau paramètre de confidentialité, la dissimulation de données critiques et la modification furtive de ses politiques et déclarations de confidentialité, indiquent une tendance à tenter de brouiller les pistes. Ce comportement suggère que LinkedIn était pleinement conscient qu'il avait violé ses promesses contractuelles et ses normes de confidentialité et qu'il cherchait à minimiser l'attention du public et les répercussions juridiques potentielles.
LinkedIn : « Il s'agit de fausses allégations sans fondement »
La plainte a été déposée devant le tribunal fédéral de San Jose, en Californie, au nom des clients de LinkedIn Premium qui ont envoyé ou reçu des messages InMail et dont les informations privées ont été divulguées à des tiers à des fins d'entraînement à l'IA avant le 18 septembre.
Elle demande des dommages-intérêts non spécifiés pour rupture de contrat et violation de la loi californienne sur la concurrence déloyale, ainsi que 1 000 dollars par personne pour violation de la loi fédérale sur les communications stockées (Stored Communications Act).
LinkedIn a déclaré dans un communiqué : « Il s'agit de fausses allégations sans fondement ».
Le dilemme : innovation contre vie privée
La controverse met en lumière une problématique clé dans le développement de l'intelligence artificielle : comment concilier les besoins croissants en données des entreprises technologiques avec le droit des individus à la vie privée ? Les modèles d'IA, notamment ceux utilisés pour des outils comme ChatGPT ou Copilot, dépendent d'énormes volumes de données pour être performants. Cependant, les moyens de collecte et d'utilisation de ces données font de plus en plus l'objet d'un examen minutieux.
Dans le cas de LinkedIn, l'utilisation des données des utilisateurs pour entraîner des IA pourrait être perçue comme une innovation bénéfique, notamment pour développer des outils de recommandation d'emploi ou des analyses avancées pour les recruteurs. Mais sans consentement explicite et transparent, ces pratiques pourraient éroder la confiance des utilisateurs envers la plateforme.
Si les accusations sont confirmées, LinkedIn pourrait faire face à de lourdes sanctions financières et à une perte significative de crédibilité. En outre, cette affaire pourrait renforcer les appels à une réglementation plus stricte sur l'utilisation des données personnelles pour l'entraînement de modèles d'IA. Des précédents comme l'amende record infligée à Meta par l'Union européenne démontrent que les régulateurs sont prêts à agir fermement contre les entreprises technologiques.
Source : plainte
Et vous ?
Que pensez-vous de cette plainte ? La trouvez-vous crédible ou pertinente ? Les utilisateurs peuvent-ils réellement donner un consentement éclairé si les plateformes ne détaillent pas explicitement l’usage des données dans des contextes tels que l’entraînement de modèles d’IA ? Où se situe la limite entre l’innovation technologique et la violation de la vie privée ? L’entraînement des modèles d’IA sur des données publiques est-il acceptable si ces données sont collectées sans permission explicite ? Les réglementations actuelles, comme le RGPD ou la CCPA, sont-elles suffisamment strictes pour encadrer l’utilisation des données personnelles dans l’IA ? Quelles pourraient être les implications juridiques de cette affaire pour d’autres entreprises technologiques ? Les lois devraient-elles être adaptées pour mieux encadrer l’entraînement des modèles d’IA sur des bases de données contenant des informations personnelles ?