En décembre 2023, la plateforme de rencontres Bumble a introduit des "AI Icebreakers" (brise-glace intelligents) dans le programme "Bumble pour les amis de l'application. Alimentée par le ChatGPT d'OpenAI, cette fonctionnalité est conçue pour vous aider à entamer une conversation en fournissant un message généré par l'IA. Pour ce faire, les informations de votre profil personnel sont introduites dans le système d'IA sans que Bumble n'ait jamais obtenu votre consentement. Bien que l'entreprise vous montre à plusieurs reprises une bannière conçue pour vous inciter à cliquer sur "OK", ce qui suggère qu'elle s'appuie sur le consentement de l'utilisateur, elle prétend en fait avoir un "intérêt légitime" à utiliser les données. noyb a donc déposé une plainte auprès de l'autorité autrichienne de protection des données.
OpenAI lit la plainte. Environ 50 millions de personnes de personnes utilisent l'application de rencontres Bumble pour trouver des partenaires romantiques, des amis ou même des partenaires commerciaux. Bien que l'application ne fournisse pas de chiffres spécifiques pour l'Europe, l'Allemagne à elle seule représentait à elle seule 1,45 million d'utilisateurs en 2024. Malheureusement, Bumble ne se contente pas de mettre les gens en relation. En décembre 2023, l'entreprise a introduit des "AI Icebreakers" dans la section "Bumble for Friends" de l'application. L'application permet à OpenAI d'accéder aux données du profil personnel des personnes afin de générer un message d'ouverture basé sur les informations que les personnes ont partagées sur la plateforme.
Lisa Steinfeld, avocate spécialisée dans la protection des données chez noyb : "Bumble impose ses fonctions d'IA à des millions d'utilisateurs européens sans jamais leur demander leur consentement. Au lieu de cela, leurs données personnelles sont envoyées à OpenAI et introduites dans les systèmes d'IA de l'entreprise."
Inciter les gens à "accepter" le traitement. Les Icebreakers de l'IA ont été introduits sans jamais demander le consentement des utilisateurs. Au lieu de cela, les utilisateurs de Bumble ont commencé à recevoir un pop-up dès qu'ils ouvraient l'application, qui disait : "L'IA brise la glace. Nous utilisons l'IA pour vous aider à commencer à chatter. Cela vous permet de poser des questions qui correspondent aux informations du profil de nos membres." La bannière est clairement conçue pour inciter les utilisateurs à cliquer sur "Ok". Si vous essayez de la fermer sans le faire, elle réapparaîtra à chaque fois que vous rouvrirez l'application et jusqu'à ce que vous cliquiez finalement sur "OK". Bien que cela suggère que Bumble s'appuie sur des formes de consentement (gênantes), Bumble semble simplement faire semblant de demander un consentement, ce qui donne aux utilisateurs un faux sentiment de contrôle.
Lisa Steinfeld, avocate spécialisée dans la protection des données chez noyb : le fait que Bumble propose à ses utilisateurs de dire "OK" aux Icebreakers de l'IA est trompeur. Cela crée un faux sentiment de contrôle sur ses propres données. En réalité, Bumble prétend avoir un soi-disant intérêt légitime à utiliser vos données sans aucun consentement."
Consentement - ou plutôt intérêt légitime ? Bien que les utilisateurs soient poussés à confirmer activement qu'ils sont d'accord pour qu'OpenAI accède à leurs données personnelles, Bumble ne s'appuie pas sur le consentement en vertu de l'article 6, paragraphe 1, point a), du RGPD, comme base juridique du traitement. Après plusieurs tentatives d'accès à ses données en vertu de l'article 15 du GDPR, la plaignante a finalement reçu une copie de ses données et des informations (incomplètes) sur le traitement des données par l'entreprise dans le cadre de la fonction AI Icebreaker. Bien que Bumble n'ait pas fourni d'informations sur les destinataires spécifiques des données des utilisateurs, l'entreprise a déclaré qu'elle s'appuyait en fait sur un prétendu intérêt légitime en vertu de l'article 6, paragraphe 1, point f), du RGPD pour traiter les données dans le cadre de ses fonctions d'IA.
Lisa Steinfeld, avocate spécialisée dans la protection des données chez noyb : "L'affirmation de Bumble selon laquelle il a un intérêt légitime à envoyer les données des utilisateurs à OpenAI est absurde. L'application de rencontres semble être si désespérée de participer à l'engouement pour l'IA qu'elle piétine les droits fondamentaux des utilisateurs dans le processus."
Plainte déposée en Autriche. noyb a donc déposé une plainte auprès de l'autorité autrichienne de protection des données (DSB). Bumble a violé ses obligations de transparence en vertu de l'article 5, paragraphe 1, point a), du RGPD en ne fournissant pas d'informations sur le traitement lié à la fonctionnalité Icebreaker et en confondant les utilisateurs avec une "fausse" bannière de consentement. En outre, l'entreprise ne dispose pas d'une base juridique au titre de l'article 6, paragraphe 1, puisqu'elle ne peut légalement prétendre fonder son traitement sur l'intérêt légitime et qu'elle n'a jamais demandé de consentement. Cela est encore illustré par le fait que le profil du plaignant comprend des données sensibles telles que l'orientation sexuelle, qui ne peuvent être traitées qu'avec un consentement explicite (article 9). Enfin, Bumble n'a pas répondu de manière adéquate à la demande d'accès du plaignant (article 15). noyb demande à Bumble de mettre fin au traitement illégal et de commencer à utiliser une base juridique appropriée pour la fonction Icebreaker. Enfin, le noyb suggère que l'ORD impose une amende administrative afin d'éviter que des violations similaires ne se reproduisent à l'avenir.
