X, la plateforme de médias sociaux détenue par Elon Musk, a été visée par une série de plaintes pour atteinte à la vie privée après s’être servie des données des utilisateurs de l’Union Européenne pour entraîner ses modèles d’IA sans demander le consentement des personnes. Fin du mois dernier, un utilisateur attentif des médias sociaux a repéré un paramètre indiquant que X avait discrètement commencé à traiter les données postales des utilisateurs régionaux pour entraîner son chatbot Grok AI. La révélation a entraîné une expression de “surprise” de la part de la Commission irlandaise de protection des données (DPC), l’entité de supervision de la conformité de X avec le Règlement Général de Protection des Données (RGPD) du bloc.
Le RGPD, qui peut sanctionner les infractions confirmées par des amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial, exige que toutes les utilisations de données personnelles aient une base juridique valide. Les neuf plaintes contre X, qui ont été déposées auprès des autorités de protection des données en Autriche, en Belgique, en France, en Grèce, en Irlande, en Italie, aux Pays-Bas, en Pologne et en Espagne, l’accusent de ne pas avoir franchi cette étape en traitant les publications européennes pour l’entraînement de l’IA sans obtenir leur consentement.
“Nous avons vu d’innombrables exemples de mise en œuvre inefficace et partielle par la DPC ces dernières années. Nous voulons nous assurer que Twitter respecte pleinement le droit de l’UE, ce qui – au strict minimum – nécessite de demander le consentement des utilisateurs dans ce cas”, a déclaré Max Schrems, président de l’organisation à but non lucratif noyb pour les droits à la vie privée.
La DPC a déjà pris des mesures contre le traitement de X pour l’entraînement de modèles d’IA, en engageant une action en justice devant la Haute Cour irlandaise en vue d’obtenir une injonction pour l’obliger à cesser d’utiliser les données. Mais noyb soutient que les actions de la DPC jusqu’à présent sont insuffisantes, soulignant qu’il n’y a aucun moyen pour les utilisateurs de X d’obtenir la suppression des “données déjà ingérées”. En réponse, noyb a déposé des plaintes RGPD en Irlande et dans sept autres pays.
Les plaintes soutiennent que X n’a pas de base valide pour utiliser les données de quelque 60 millions de personnes dans l’UE pour entraîner des IA sans obtenir leur consentement. La plateforme semble se reposer sur une base juridique connue sous le nom d'”intérêt légitime” pour le traitement lié à l’IA. Cependant, les experts en matière de vie privée disent qu’elle doit obtenir le consentement des personnes. “Les entreprises qui interagissent directement avec les utilisateurs ont simplement besoin de leur montrer une invite oui/non avant d’utiliser leurs données. Ils le font régulièrement pour beaucoup d’autres choses, il serait donc certainement possible de le faire pour l’entraînement de l’IA aussi”, a suggéré Schrems.
En juin, Meta avait suspendu un plan similaire de traitement des données des utilisateurs pour l’entraînement des IA après que noyb ait soutenu certaines plaintes RGPD et que les régulateurs soient intervenus. Mais l’approche de X, qui consiste à s’approprier discrètement les données des utilisateurs pour l’entraînement de l’IA sans même en informer les personnes, semble lui avoir permis de passer sous le radar pendant plusieurs semaines. Selon la DPC, X traitait les données européennes pour l’entraînement des modèles d’IA entre le 7 mai et le 1er août.
