Ces derniers jours, Meta a informé des millions d'Européens que sa politique de confidentialité changeait une fois de plus. Ce n'est qu'en examinant de plus près les liens figurant dans la notification qu'il est apparu clairement que l'entreprise envisageait d'utiliser des années de messages personnels, d'images privées ou de données de suivi en ligne pour une "technologie d'IA" non définie, capable d'ingérer des données personnelles provenant de n'importe quelle source et de partager toute information avec des "tiers" non définis. Au lieu de demander le consentement des utilisateurs (opt-in), Meta fait valoir un intérêt légitime qui l'emporte sur le droit fondamental à la protection des données et à la vie privée des utilisateurs européens. Une fois leurs données dans le système, les utilisateurs semblent n'avoir aucune possibilité de les supprimer ("droit à l'oubli"). noyb a déposé des plaintes dans 11 pays européens, demandant aux autorités de lancer une procédure d'urgence pour mettre fin à ce changement immédiatement, avant qu'il n'entre en vigueur le 26 juin 2024.
- 11 plaintes (déposées en Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège (avec NCC)*, Pologne et Espagne)
- Aperçu des (fausses) déclarations de Meta concernant Meta AI
Toutes les données non publiques pour une future "technologie d'IA" non définie. Contrairement à la situation déjà problématique des entreprises qui utilisent certaines données (publiques) pour former un système d'IA spécifique (par exemple un chatbot), la nouvelle politique de confidentialité de Meta dit essentiellement que l'entreprise veut prendre toutes les données publiques et non publiques des utilisateurs qu'elle a collectées depuis 2007 et les utiliser pour tout type indéfini de "technologie d'intelligence artificielle" actuelle et future. Cela inclut les nombreux comptes Facebook "dormants" avec lesquels les utilisateurs n'interagissent presque plus, mais qui contiennent encore d'énormes quantités de données personnelles. En outre, Meta affirme qu'elle peut collecter des informations supplémentaires auprès de n'importe quel "tiers" ou racler des données à partir de sources en ligne. La seule exception semble être les chats entre particuliers, mais même les chats avec une entreprise sont concernés. Les utilisateurs ne reçoivent aucune information sur les objectifs de la "technologie d'IA", ce qui va à l'encontre des exigences du GDPR. La politique de confidentialité de Meta autoriserait théoriquement n'importe quelle finalité. Ce changement est particulièrement inquiétant parce qu'il concerne les données personnelles d'environ 4 milliards d'utilisateurs de Meta, qui seront utilisées pour une technologie expérimentale pratiquement sans limite. Au moins, les utilisateurs de l'UE/EEE devraient (en théorie) être protégés contre de tels abus par le GDPR.
Max Schrems : "Meta dit en fait qu'il peut utiliser "n'importe quelle donnée provenant de n'importe quelle source pour n'importe quel usage et la mettre à la disposition de n'importe qui dans le monde", à condition que ce soit par le biais d'une "technologie d'intelligence artificielle". Cela va clairement à l'encontre de la conformité au GDPR. l'expression "technologie d'IA" est extrêmement large. Tout comme "l'utilisation de vos données dans des bases de données", il n'y a pas de limite légale réelle. Meta ne dit pas à quoi serviront les données, il pourrait donc s'agir d'un simple chatbot, d'une publicité personnalisée extrêmement agressive ou même d'un drone tueur. Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n'importe quel "tiers", c'est-à-dire n'importe qui dans le monde
Les intérêts de Meta l'emportent-ils sur les droits des utilisateurs ? Normalement, le traitement des données personnelles dans l'Union européenne est illégal par défaut. Par conséquent, Meta doit s'appuyer sur l'une des six bases juridiques prévues à l'article 6, paragraphe 1, du GDPR pour traiter les données à caractère personnel. Bien que le choix logique soit le consentement explicite, Meta prétend à nouveau qu'il a un "intérêt légitime" qui l'emporte sur les droits fondamentaux des utilisateurs. Meta a déjà fait valoir cet argument dans le contexte de l'utilisation de toutes les données personnelles à des fins publicitaires - et a été rejeté par la Cour de justice(voir C-252/21). Aujourd'hui, Meta utilise la même base juridique pour justifier une utilisation encore plus large et plus agressive des données personnelles des utilisateurs.
Max Schrems : "La Cour de justice des Communautés européennes a déjà clairement indiqué que Meta n'avait pas d'"intérêt légitime" à faire prévaloir sur le droit des utilisateurs à la protection des données lorsqu'il s'agit de publicité. Pourtant, l'entreprise tente d'utiliser les mêmes arguments pour la formation à une "technologie d'IA" non définie. Il semble que Meta ignore une fois de plus de manière flagrante les arrêts de la CJUE"
L'objection est une farce. Meta tente même de rendre les utilisateurs responsables de la protection de leur vie privée en les dirigeant vers un formulaire d'objection (opt-out) que les utilisateurs sont censés remplir s'ils ne veulent pas que Meta utilise toutes leurs données. Alors qu'en théorie, l'opt-out pourrait être mis en œuvre de telle sorte qu'il ne nécessite qu'un seul clic (comme le bouton "se désinscrire" dans les lettres d'information), Meta rend l'objection extrêmement compliquée, même pour des raisons personnelles. Une analyse technique des liens d'exclusion a même montré que Meta exige une connexion pour consulter une page par ailleurs publique. Au total, Meta demande à quelque 400 millions d'utilisateurs européens de s'opposer, au lieu de leur demander leur consentement.
Max Schrems : "Reporter la responsabilité sur l'utilisateur est complètement absurde. La loi exige que Meta obtienne le consentement de l'utilisateur, et non qu'il fournisse un formulaire d'opposition caché et trompeur. Si Meta veut utiliser vos données, elle doit vous demander la permission. Au lieu de cela, elle oblige les utilisateurs à supplier pour être exclus. Nous avons été particulièrement surpris de constater que Meta s'est même donné la peine d'intégrer des tonnes de petites distractions pour s'assurer que seul un nombre infime d'utilisateurs prendrait la peine de s'y opposer"
Le DPC irlandais est complice (une fois de plus). Selon lesrapports, cette violation flagrante du GDPR est (à nouveau) basée sur un "accord" avec la Commission irlandaise de protection des données (la DPC est le régulateur européen de Meta). La DPC a déjà conclu un accord avec Meta qui a permis à l'entreprise de contourner le GDPR - et qui s'est soldé par une amende de 395 millions d'euros contre Meta après que le Conseil européen de la protection des données (EDPB) ait annulé la décision de la DPC irlandaise.
Max Schrems : "Il semble que la nouvelle direction du DPC continue à conclure des "accords" illégaux avec de grandes entreprises technologiques américaines. Il est ahurissant que le DPC continue de laisser libre cours à l'utilisation abusive des données personnelles non publiques d'environ 400 millions d'utilisateurs européens"
Délai : 26 juin : Procédure d'urgence demandée. Étant donné que le traitement de Meta pour une "technologie d'intelligence artificielle" non divulguée doit déjà prendre effet le 26 juin 2024, et que Meta affirme qu'il n'y a pas d'option de retrait à un stade ultérieur pour que vos données soient supprimées (comme le prévoit l'article 17 du GDPR et le "droit à l'oubli"), noyb a demandé une "procédure d'urgence" en vertu de l'article 66 du GDPR. Les autorités de protection des données (APD) de 11 pays européens (Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) ont reçu une telle demande au nom des personnes concernées locales. L'article 66 permet aux autorités de protection des données d'émettre des arrêts préliminaires dans des situations telles que celle décrite ci-dessus et autorise une décision à l'échelle de l'UE par l'intermédiaire de l'EDPB. La DPC irlandaise et Meta Ireland ont déjà fait l'objet de deux "décisions contraignantes d'urgence" de l'EDPB (voir la décision contraignante d'urgence 01/2023 et la décision contraignante d'urgence 01/2021) dans des situations similaires.
Max Schrems : "Nous espérons que les autorités irlandaises prendront rapidement des mesures et arrêteront au moins ce projet en vue d'une enquête approfondie. L'EDPB a déjà pris deux décisions d'urgence de ce type à l'encontre de Meta et du commissaire irlandais à la protection des données. Il est triste de voir que cette mesure semble être nécessaire encore et encore."
Autres problèmes. Outre l'absence de base juridique pour aspirer plus d'une décennie de données d'utilisateurs, Meta a précédemment déclaré qu'il était techniquement incapable de faire la distinction entre les données d'utilisateurs de l'UE/EEE et d'autres pays où les personnes ne bénéficient pas de la protection du GDPR. Meta a également déclaré qu'elle n'était pas en mesure de faire la distinction entre les données sensibles au sens de l'article 9 du GDPR, telles que l'appartenance ethnique, les opinions politiques, les croyances religieuses (pour lesquelles l'argument de "l'intérêt légitime" n'est pas disponible en vertu de la loi), et d'autres données pour lesquelles un "intérêt légitime" pourrait théoriquement être revendiqué. Avec l'introduction de sa technologie d'IA, Meta semble avoir violé un certain nombre d'autres dispositions du GDPR, y compris les principes du GDPR, les règles de transparence et les règles opérationnelles. Dans l'ensemble, les plaintes de noyb font état de violations des articles 5, paragraphes 1 et 2, 6, paragraphe 1, 9, paragraphe 1, 12, paragraphes 1 et 2, 13, paragraphes 1 et 2, 17, paragraphe 1, point c), 18, paragraphe 1, point d), 19, 21, paragraphe 1, et 25 du GDPR.
Max Schrems : "Avec l'approche consistant à utiliser simplement n'importe quelles données à n'importe quelle fin pour n'importe quelle "technologie d'IA", Meta a clairement quitté la quasi-totalité du cadre du GDPR. Nous avons dénombré des violations d'au moins dix articles de loi."
Prochaines étapes. Les autorités de protection des données concernées vont maintenant devoir prendre rapidement la décision de lancer une procédure d'urgence ou de traiter les plaintes dans le cadre d'une procédure normale. Il y a deux jours, l'autorité norvégienne de protection des données a déjà publié un billet de blog dans lequel elle affirme qu'il est "douteux" ("tvilsomt") que l'approche de Meta soit légale. Une procédure d'urgence pourrait conduire à une interdiction provisoire rapide et à une décision finale de l'EDPB en l'espace de quelques mois. Si les plaintes déposées aujourd'hui constituent une première étape, il semble plausible que d'autres organisations fassent suivre ces plaintes d'injonctions, d'actions civiles ou même d'actions collectives, si Meta va de l'avant avec ses projets. À elles seules, les actions de noyb contre Meta ont jusqu'à présent donné lieu à des amendes administratives de plus de 1,5 milliard d'euros.
*La plainte en Norvège a été déposée conjointement avec le Conseil norvégien des consommateurs ("NCC"). Pour plus d'informations, voir www.forbrukerradet.no.