La société Meta, qui édite les réseaux sociaux Facebook et Instagram, a annoncé à ses utilisateurs, le 26 juin 2024, que sa politique de confidentialité avait été mise à jour, et qu’elle intégrait désormais des explications concernant son nouvel outil d’intelligence artificielle (IA), Meta AI, notamment le fait qu’il sera alimenté par tous les contenus des utilisateurs, dont les publications, les photos et les messages échangés avec des organisations, et manifestement les contenus partagés dans les groupes privés.

Malgré la densité de la politique de confidentialité – 127 pages A4 –, les détails, et surtout les finalités, de cet outil d’IA ne sont toutefois pas très explicites, ce qui a conduit l’organisation militante NOYB à déposer une plainte auprès de onze autorités européennes de protection des données, dont la CNIL, pour obtenir la suspension, en urgence[1], du lancement de Meta AI et l’ouverture d’une procédure pour déterminer la légalité de Meta AI vis-à-vis du RGPD.

NOYB considère en effet que la société Meta ne dispose pas d’une base légale et qu’elle ne peut pas justifier un traitement aussi volumineux et aussi intrusif, dont les finalités précises sont inconnues, par des « intérêts légitimes »[2], c’est-à-dire sans le consentement des utilisateurs.

NOYB explique également que la réalisation d’un outil d’IA n’est pas une fin en soi, mais plutôt un outil ou un moyen pour atteindre un objectif donné. En l’espèce, les objectifs présentés sont plutôt vagues. Meta explique, par exemple, qu’une des finalités de son IA est « d’innover pour le bien social » et que son traitement permet de « développer et améliorer la technologie d’IA que la société fournit sur ses Produits et aux Tiers ».

« Meta prévoit l’utilisation de toute donnée personnelle (sur Meta ou provenant d’un tiers), pour n’importe quel but (en déclarant simplement « IA » comme une « finalité spécifique »), sans limite de temps, sans forme d’anonymisation ou de pseudonymisation et potentiellement avec n’importe qui dans le monde comme destinataire des informations provenant de ces systèmes »

— NOYB, Plainte contre Meta AI, §1.3.6

NOYB pointe également du doigt le fait que l’IA de Meta soit alimentée aussi bien par des données de personnes n’utilisant pas le réseau social, que par des données d’utilisateurs ayant exprimé une opposition préalable.

« Nous pouvons toujours traiter des informations vous concernant pour développer et améliorer l’IA chez Meta, même si vous vous opposez à leur utilisation ou que vous n’utilisez pas nos produits et services. »

— Extrait de la politique de Meta, au sujet de Meta AI

Enfin, NOYB reproche également à Meta :

  • d’avoir recours à des pratiques douteuses pour « dissuader » les personnes d’exercer leur droit d’opposition, comme l’envoi d’un e-mail peu explicite, la nécessité non justifiée de s’authentifier, la saisie non justifiée de son pays de résidence, et la nécessite de motiver son opposition bien que la validation de l’opposition soit quasi instantanée ;
  • de ne pas fournir aux utilisateurs des informations de manière « concise, transparente, compréhensible et aisément accessible »[3] ;
  • de ne pas être en mesure de traiter différemment les données sensibles[4], c’est-à-dire celles se rapportant à l’origine raciale, la politique, la sexualité ou la religion des personnes ;
  • de ne pas être capable de supprimer ou d’altérer les données injectées dans son outil d’IA.

NOYB demande aux autorités nationales d’agir urgemment pour protéger les données et les intérêts des 400 millions d’Européens, et de ne pas attendre l’intervention de l’autorité irlandaise, dont « l’action est peu probable ».

L’autorité norvégienne a déjà réagi sur son site et a indiqué que « la légalité [de Meta AI] est discutable », et qu’ « à leur avis, le plus naturel aurait été de demander le consentement des utilisateurs avant d’utiliser leurs posts et photos ».

Mise à jour du 14 juin 2024 : L’autorité irlandaise (DPC), qui agit en tant qu’autorité chef de file, a indiqué que la société Meta avait pris la décision de « faire une pause dans ses projets de formation d’une [IA] grâce à des contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE ».

Suite à l’annonce de ce report, l’autorité norvégienne a indiqué que ce délai « donnera plus de temps aux autorités européennes pour examiner le modèle d’IA et, nous l’espérons, obtenir des réponses aux nombreuses questions que nous nous posons ».

L'avis d'eWatchers (par Morgan Schmiedt)

Facebook se donne le droit d’utiliser toutes les données qu’il trouve pour alimenter une IA. Cette IA est en fait une sortie de boite noire qui permet à la société de contourner toutes les règles élémentaires de protection des données, sur la licéité des traitements, sur la minimisation des données, sur la transparence des traitements.

Les autorités européennes de protection des données ne semblent pas s’en préoccuper, et ce n’est pas la DPC irlandaise qui fera quoi que ce soit. Beau travail des autorités européennes, qui ont mis la pression sur l’autorité irlandaise pour la forcer à intervenir. Un traitement aussi massif mérite d’être connu précisément avant d’être déployé.

Liens

Notes et références

  1. Au sens de l’article 66 du RGPD.
  2. Au sens de l’article 6-1-f du RGPD.
  3. Conformément à l’article 13 du RGPD.
  4. Au sens de l’article 9 du RGPD.
Sigles et acronymes
  • NOYB : None Of Your Business
  • RGPD : Règlement Général sur la Protection des Données
  • CNIL : Commission Nationale de l'Informatique et des Libertés