LinkedIn de Microsoft est poursuivie pour avoir prétendument entraîné des modèles d'IA avec des messages privés sans consentement

LinkedIn assure qu'il s'agit de « fausses allégations sans fondement »

Des clients de LinkedIn Premium poursuivent la plateforme de médias sociaux, alléguant qu'elle a partagé leurs messages privés avec des tiers sans leur consentement afin d'entraîner des modèles d'intelligence artificielle. En août dernier, LinkedIn a « ostensiblement » offert aux utilisateurs la possibilité d'activer une nouvelle fonction de confidentialité déterminant si leurs données personnelles pouvaient être partagées, mais a activé les autorisations par défaut, selon la proposition de recours collectif, déposée auprès d'un tribunal fédéral californien. La modification n'a pas été communiquée dans les conditions de service ou la politique de confidentialité du géant des médias sociaux avant qu'elle ne soit effectuée. LinkedIn, dont le siège se trouve dans la Silicon Valley, appartient à Microsoft.

Contexte

En septembre, le réseau professionnel de Microsoft a publié une mise à jour « confiance et sécurité » dans laquelle Blake Lawit, vice-président senior et avocat général, a révélé l'utilisation par LinkedIn des publications et des données des utilisateurs pour la formation et le déploiement de ses outils d'IA générative.

Dans son annonce, Lawit a indiqué que la politique de confidentialité de LinkedIn avait été mise à jour. La politique mise à jour, qui renvoie à une FAQ révisée, confirme également que les messages ont été automatiquement collectés pour l'entraînement à l'IA. Il semble que LinkedIn ait commencé à collecter du contenu pour ses modèles d'IA et ses utilisateurs bien avant que l'article de Lawit et la politique de confidentialité mise à jour ne rendent ces changements publics.

Selon la FAQ, les fonctionnalités d'IA générative de LinkedIn peuvent utiliser des informations personnelles pour offrir des suggestions, comme vous aider à rédiger des messages lorsque vous y êtes invité. En outre, vos données seront utilisées pour former ces modèles d'IA, et si vous préférez ne pas participer, vous devrez vous désengager activement.

Les utilisateurs de l'Union européenne, de l'Islande, de la Norvège, du Liechtenstein et de la Suisse ne sont pas inclus et ne seront pas ajoutés en raison des récents changements apportés aux lois sur la protection des données. La loi sur les marchés numériques (DMA) oblige certains des plus grands réseaux sociaux à se conformer à de nouvelles règles, ce qui permet aux gens d'utiliser les plateformes sans que leurs informations ne soient partagées.

S'il est possible de se désinscrire, la plateforme a précisé : « le fait de vous désinscrire signifie que Linkedin et ses sociétés affiliées n'utiliseront pas vos données personnelles pour former des modèles à l'avenir. Mais cela n'affecte pas la formation qui a déjà eu lieu ». Concrètement, toutes les données qui ont déjà été utilisées par Linkedin pour son IA continueront à être utilisés par l'outil.


Les accusations contre LinkedIn

Selon une proposition de recours collectif déposée au nom de millions de clients LinkedIn Premium, LinkedIn a discrètement introduit un paramètre de confidentialité en août dernier qui permettait aux utilisateurs d'activer ou de désactiver le partage de leurs données personnelles.

Après que des articles de presse ont révélé que le paramètre était activé par défaut, les clients ont fait beaucoup de bruit sur les réseaux sociaux, ce qui a incité LinkedIn à mettre à jour sa politique de confidentialité en informant ses clients de cette pratique.

Cependant, selon la plainte, la société a « dissimulé une information cruciale » dans une foire aux questions (FAQ) accessible par un lien hypertexte dans la politique de confidentialité, selon la plainte, indiquant que les messages des utilisateurs pouvaient également être utilisés pour former des modèles d'intelligence artificielle par un fournisseur tiers non nommé, potentiellement en dehors de Microsoft.

Cette divulgation, qui n'aurait été faite que dans la FAQ, suggère que LinkedIn était « conscient que ses conditions précédentes n'autorisaient pas ces pratiques et tentait d'éviter un examen plus approfondi », selon l'action en justice. Les utilisateurs ne peuvent accéder à la page de la FAQ contenant cette information qu'en lisant la politique de confidentialité et en cliquant sur un lien, selon l'action en justice.

LinkedIn ayant également reconnu que les données des utilisateurs étaient partagées avec des tiers « affiliés » au sein de sa « structure d'entreprise », l'action en justice soutient que les messages privés des utilisateurs pourraient alimenter d'autres modèles d'intelligence artificielle de Microsoft.

LinkedIn a également indiqué dans la FAQ que l'entraînement du modèle d'IA qui avait déjà été alimenté par les messages des utilisateurs ne pouvait pas être inversé, selon l'action en justice.

La plateforme « abandonne le jeu avec cette déclaration - elle indique que les informations personnelles des utilisateurs de LinkedIn sont déjà intégrées dans des modèles d'IA génératifs et ne seront pas supprimées, qu'ils choisissent ou non de ne pas les divulguer à l'avenir », affirme la plainte.

Cette tentative de « brouiller les pistes » suggère que LinkedIn était parfaitement conscient qu'il violait la vie privée de ses clients et sa promesse de n'utiliser les données personnelles que pour soutenir et améliorer sa plateforme, afin de minimiser l'attention du public et les retombées juridiques, selon la plainte.

L'entreprise accusée d'avoir cherché à brouiller les pistes

Ci-dessous un extrait de la plainte

LinkedIn a été dénoncé pour avoir divulgué des données d'utilisateurs à des tiers afin d'entraîner des modèles d'IA génératifs, puis a tenté de brouiller les pistes

LinkedIn propose des services gratuits et des services « Premium » (payants). Tous les utilisateurs doivent accepter le contrat d'utilisation et la politique de confidentialité lorsqu'ils ouvrent un compte. Les clients Premium acceptent des conditions supplémentaires, y compris des protections accrues de la vie privée, qui sont détaillées ci-dessous.

En août 2024, LinkedIn a discrètement introduit un nouveau paramètre de confidentialité dans son menu de paramètres (illustré ci-dessous), qui permettait ostensiblement aux utilisateurs d'activer ou de désactiver le partage de leurs données personnelles à des fins d'entraînement de modèles d'IA générative.


Ce paramètre était activé par défaut, optant automatiquement pour un programme qui permettait à LinkedIn et à ses « affiliés » d'entraîner des modèles d'IA génératifs avec les données personnelles des utilisateurs.

Le 18 septembre 2024, de nombreux médias ont fait état de ce nouveau paramètre de confidentialité et ont interrogé un porte-parole de LinkedIn sur les raisons pour lesquelles LinkedIn n'avait pas divulgué son partage des données personnelles des utilisateurs pour la formation à l'IA générative dans ses conditions de service. LinkedIn a répondu par une déclaration : « Nous partagerons prochainement avec nos membres une mise à jour de nos conditions d'utilisation. »

Le même jour, le 18 septembre 2024, LinkedIn a discrètement mis à jour sa politique de confidentialité, en ajoutant une description de son traitement des données des utilisateurs à des fins d'IA générative.

Les modifications apportées par le défendeur semblent reconnaître que la divulgation des données des utilisateurs a dépassé la portée de son consentement initial au traitement des données des utilisateurs, comme en témoignent les modifications indiquées ci-dessous en tant que changements suivis :


Plus particulièrement, LinkedIn a caché une information cruciale dans un hyperlien « FAQ » (en italique ci-dessus) plutôt que dans la politique de confidentialité : « Les modèles d'intelligence artificielle que LinkedIn utilise pour alimenter les fonctions d'IA générative peuvent être formés par LinkedIn ou un autre fournisseur » (accentuation ajoutée). Le fait d'admettre que les données peuvent être divulguées à « un autre fournisseur » dans ce document secondaire suggère que LinkedIn était conscient que ses conditions précédentes n'autorisaient pas ces pratiques et qu'il tentait d'éviter un examen plus approfondi.

En outre, la FAQ précise : « Le retrait signifie que LinkedIn et ses affiliés n'utiliseront pas vos données personnelles ou le contenu de LinkedIn pour former des modèles à l'avenir, mais n'affecte pas la formation qui a déjà eu lieu. » LinkedIn abandonne la partie avec cette déclaration - elle indique que les informations personnelles des utilisateurs de LinkedIn sont déjà intégrées dans les modèles d'IA générative et ne seront pas supprimées, qu'ils se désistent ou non des divulgations futures.

Cette modification de sa politique de confidentialité viole également la promesse de LinkedIn de ne pas mettre à jour les termes de sa politique de confidentialité sans d'abord notifier les utilisateurs du changement imminent et leur donner la possibilité d'annuler leur compte s'ils s'y opposent[...].

Dans un nouveau tour de passe-passe, LinkedIn a discrètement modifié une déclaration dans la FAQ susmentionnée. La version précédente de la FAQ indiquait : « Lorsque LinkedIn entraîne des modèles d'IA générative, nous cherchons à minimiser les données personnelles dans les ensembles de données utilisés pour entraîner les modèles, y compris en utilisant des technologies d'amélioration de la confidentialité pour expurger ou supprimer les données personnelles de l'ensemble de données d'entraînement. »

Le 1^er octobre 2024 ou autour de cette date, LinkedIn a supprimé les mots « y compris en utilisant des technologies d'amélioration de la...