Meta a annoncé qu'elle utiliserait les données personnelles européennes des utilisateurs d'Instagram et de Facebook pour entraîner ses nouveaux systèmes d'IA à partir du 27 mai. Au lieu de demander le consentement des consommateurs, Meta s'appuie sur un prétendu "intérêt légitime" pour aspirer toutes les données des utilisateurs. La nouvelle directive européenne sur les recours collectifs permet aux entités qualifiées telles que noyb d'émettre des injonctions à l'échelle de l'UE. Dans un premier temps, noyb a envoyé à Meta une proposition de règlement formelle sous la forme d'une lettre de cessation et d'abstention. D'autres groupes de consommateurs prennent également des mesures. Si des injonctions sont déposées et remportées, Meta pourrait également être tenu responsable des dommages subis par les consommateurs, ce qui pourrait faire l'objet d'une action collective distincte à l'échelle de l'UE. Les dommages et intérêts pourraient s'élever à plusieurs milliards. En résumé, la société Meta pourrait être confrontée à des risques juridiques considérables, simplement parce qu'elle s'appuie sur un système d'"opt-out" au lieu d'un système d'"opt-in" pour l'entraînement à l'IA.
- noyblettre de cessation et d'abstention de noyb à Meta Ireland
- Rapport de Reuters sur la lettre de cessation et d'abstention de noyb
- Communiqué de presse de la VZ NRW allemande sur son injonction préliminaire pour l'Allemagne
- Déclaration grotesque de Meta sur l'injonction préliminaire de la VZ NRW allemande
- Plaintes antérieures du noyb contre les plans de formation à l'IA de Meta
Meta AI n'est pas conforme au GDPR. Pour utiliser des données à caractère personnel, les entreprises doivent se conformer à l'une des six bases juridiques prévues à l'article 6, paragraphe 1, du GDPR. L'une d'entre elles est le consentement explicite, ce qui signifie que les utilisateurs peuvent choisir de fournir un "consentement librement donné, spécifique, éclairé et non discriminatoire"librement donné, spécifique, éclairé et univoque" "Oui" au traitement de leurs données - ou de dire non ou même de garder le silence. Toutefois, les entreprises peuvent également invoquer ce que l'on appelle un intérêt légitime pour traiter des données à caractère personnel. Un voleur, par exemple, ne consentira pas à être filmé par une caméra de vidéosurveillance, mais une banque peut néanmoins avoir un "intérêt légitime" à disposer de caméras de vidéosurveillance. Au lieu de permettre aux utilisateurs de choisir entre "Oui" et "Non", Meta prétend qu'elle a un tel "intérêt légitime" à prendre leurs données pour l'entraînement à l'IA. Cela ne laisse aux utilisateurs que le droit de s'opposer (opt-out) en vertu de l'article 21 du GDPR. Mais Meta limite même ce droit (statutaire) en disant qu'il ne s'applique que si les personnes s'y opposent avant que la formation n'ait commencé.
Meta ne sera probablement pas en mesure de respecter d'autres droits prévus par le GDPR (comme le droit à l'oubli, le droit à la rectification des données incorrectes ou l'accès des utilisateurs à leurs données dans un système d'IA). En outre, Meta fournit des modèles d'IA (tels que Llama) sous forme de logiciels libres que chacun peut télécharger et utiliser. Cela signifie que Meta peut difficilement rappeler ou mettre à jour un modèle une fois qu'il est publié.
Max Schrems : la Cour de justice des Communautés européennes a déjà estimé que Meta ne pouvait se prévaloir d'un "intérêt légitime" pour cibler les utilisateurs avec de la publicité. Comment pourrait-elle avoir un 'intérêt légitime' à aspirer toutes les données pour l'entraînement de l'IA ? Bien que l'évaluation de l'"intérêt légitime" soit toujours un test à plusieurs facteurs, tous les facteurs semblent pointer dans la mauvaise direction pour Meta. Meta dit simplement que son intérêt à gagner de l'argent est plus important que les droits de ses utilisateurs."
Une solution simple : Demander le consentement des utilisateurs ! Alors que Meta tente de faire croire que le respect du GDPR rendrait impossible la formation à l'IA dans l'UE (voir leur communiqué de presse absurde pour l'Allemagne), la solution juridique prévue par le GDPR est simple : Meta n'aurait qu'à demander à ses utilisateurs de consentir à l'utilisation de leurs données personnelles pour la formation à l'IA (au lieu de s'y opposer). Étant donné que Meta compte un grand nombre d'utilisateurs, le fait que 10 % ou plus d'entre eux acceptent une telle formation serait déjà clairement suffisant pour apprendre les langues de l'UE et d'autres langues similaires. Si Meta était clair sur les conditions de la formation (par exemple l'anonymisation, etc.), il est probable que les utilisateurs fourniraient leurs données. Il est toutefois totalement absurde d'affirmer que le Meta a besoin des données personnelles de toutes les personnes qui ont utilisé Facebook ou Instagram au cours des 20 dernières années pour entraîner l'IA. La plupart des autres fournisseurs d'IA (comme OpenAI ou le français Mistral) n'ont aucun accès aux données des médias sociaux et surpassent toujours les systèmes d'IA de Meta.
Max Schrems : " Ce combat porte essentiellement sur la question de savoir s'il faut demander le consentement des gens ou simplement prendre leurs données sans leur consentement. Meta entame un combat énorme juste pour avoir un système d'opt-out au lieu d'un système d'opt-in. Au lieu de cela, ils s'appuient sur un prétendu "intérêt légitime" pour prendre les données et s'en servir. Ce n'est ni légal ni nécessaire. Les affirmations absurdes de Meta selon lesquelles le vol des données personnelles de chacun est nécessaire à l'entraînement de l'IA sont risibles. D'autres fournisseurs d'IA n'utilisent pas les données des réseaux sociaux et génèrent des modèles encore meilleurs que ceux de Meta."
Mesures injonctives et actions collectives potentielles. En tant qu'entité qualifiée en vertu de la nouvelle directive européenne sur les recours collectifs, noyb peut demander une injonction pour mettre fin à une pratique illégale d'une entreprise comme Meta. Ces actions peuvent être intentées dans différentes juridictions, et pas seulement au siège de Meta en Irlande. Si une injonction est accordée par le tribunal compétent, Meta devra non seulement cesser le traitement, mais aussi supprimer tout système d'IA formé illégalement. Si des données européennes sont "mélangées" à des données non européennes, l'ensemble du modèle d'IA devra être supprimé. Toute injonction arrêterait également le délai pendant lequel les personnes peuvent intenter une action en dommages et intérêts ("délai de prescription")prescription"). Cela signifie que chaque jour où Meta continuerait à utiliser des données européennes pour l'entraînement de l'IA, elle augmenterait les demandes potentielles de dommages-intérêts de la part des utilisateurs. Le GDPR autorise des dommages et intérêts non matériels qui se chiffrent généralement en centaines ou en milliers par utilisateur.
Outre une simple injonction, toute entité qualifiée peut également intenter une action en réparation (similaire à une action collective américaine) afin de recouvrer de tels dommages pour de grands groupes d'utilisateurs. noyb ou toute autre entité qualifiée (voir la liste actuelle de l'UE) aurait des années pour intenter une telle action si Meta ne change pas de cap. Si le préjudice moral n'était que de 500 euros par utilisateur, il s'élèverait à environ 200 milliards d'euros pour les quelque 400 millions d'utilisateurs mensuels actifs de Meta en Europe.
Max Schrems : "Nous évaluons actuellement nos possibilités de déposer des injonctions, mais il est également possible d'engager une action collective pour des dommages immatériels. Si vous pensez aux plus de 400 millions d'utilisateurs européens de Meta qui pourraient tous demander des dommages et intérêts d'environ 500 euros, vous pouvez faire le calcul. Nous sommes très surpris que Meta prenne ce risque simplement pour éviter de demander le consentement des utilisateurs
Injonctions dans d'autres juridictions de l'UE. La réaction à la violation flagrante du GDPR par Meta se développe rapidement, noyb croit savoir que plusieurs groupes dans l'UE examinent les possibilités de litige. Les organisations de consommateurs allemandes (dirigées par la Verbraucherzentrale in North-Rhine-Westphalia, "VZ NRW") ont déjà rendu publique leur intention d'intenter une action. On peut également s'attendre à ce que de nombreux particuliers intentent une action contre Meta pour l'utilisation de leurs données à des fins d'entraînement à l'IA.
Max Schrems : "Nous nous attendons à ce que l'utilisation des données des médias sociaux pour l'apprentissage de l'IA déclenche de nombreux litiges dans l'ensemble de l'UE. Le simple fait de gérer ces litiges constituera une tâche énorme pour Meta"
Les autorités de protection des données ne semblent pas approuver. Les autorités nationales de protection des données (DPA) devraient - théoriquement - prendre des mesures coercitives en cas de non-respect du GDPR. Cependant, dans un climat où l'UE fait pression pour moins de réglementation et plus d'"innovation" à tout prix, nous observons maintenant que les autorités de protection des données dans certains pays de l'UE fonctionnent en grande partie comme un messager pour Meta : De nombreuses autorités de protection des données ont juste "informé" de nombreux DPA viennent d'"informer" les gens qu'ils devraient de toute urgence se retirer de la formation à l'IA de Meta. Cela revient à faire porter la responsabilité aux utilisateurs plutôt qu'à Meta. Meta affirme également publiquement avoir "engagé" avec les régulateurs de l'UE sur l'utilisation des données des médias sociaux pour l'apprentissage de l'IA. Cependant, pour autant que le noyb les autorités de protection des données sont restées largement silencieuses sur la légalité de l'entraînement à l'IA sans consentement. Il semble donc que Meta soit allée de l'avant malgré tout, en prenant un autre risque juridique énorme dans l'UE et en foulant aux pieds les droits des utilisateurs.
Max Schrems : d'après ce que nous avons entendu, Meta s'est "engagé" auprès des autorités, mais cela n'a abouti à aucun "feu vert". Il semble que Meta aille tout simplement de l'avant et ignore les autorités européennes chargées de la protection des données. Les autorités, quant à elles, semblent rester silencieuses et disent aux utilisateurs de se protéger. Nous constatons que les autorités chargées de la protection des données perdent de plus en plus de leur pertinence et que les ONG doivent agir devant les tribunaux
