Récemment, Twitter International (aujourd'hui rebaptisé "X") a commencé à utiliser illégalement les données personnelles de plus de 60 millions d'utilisateurs dans l'UE/EEE pour former ses technologies d'IA (comme "Grok") sans leur consentement. Contrairement à Meta (qui a récemment dû mettre fin à l'entraînement à l'IA dans l'UE), Twitter n'a même pas informé ses utilisateurs à l'avance. La Commission irlandaise de protection des données (DPC) est allée trop loin : La semaine dernière, elle a entamé une procédure judiciaire contre Twitter pour mettre fin au traitement illégal, mais la DPC irlandaise semble s'être abstenue d'appliquer pleinement le GDPR. noyb a déposé neuf plaintes.
- Plaintes déposées en Autriche, Belgique, France, Grèce, Irlande, Italie, Pays-Bas, L'Espagne et Pologne
- Compte-rendu de l'affaire DPC contre Twitter en Irlande
- Reportage sur l'action en justice intentée par le DPC irlandais
Les données personnelles de 60 millions de personnes pour entraîner l'IA ? Comme si Meta avait échoué dans sa tentative d'utiliser illégalement les données personnelles des citoyens pour des projets d'IA n'avait pas envoyé un message suffisamment clair, Twitter est la prochaine entreprise américaine à aspirer les données des utilisateurs de l'UE pour entraîner l'IA. En mai 2024, Twitter a commencé à intégrer de manière irréversible les données des utilisateurs européens dans sa technologie d'IA "Grok", sans jamais les en informer ni leur demander leur consentement.
Le DPC irlandais prend des mesures timides. L'ignorance flagrante de la loi par Twitter a suscité une réaction surprenante de la part du DPC irlandais (notoirement favorable aux entreprises) : l'autorité a engagé une action en justice contre Twitter afin de mettre fin au traitement illégal et d'obtenir une ordonnance de mise en conformité de ses systèmes avec le GDPR. Cependant, une audience du tribunal jeudi dernier a révélé que le DPC semble s'être surtout préoccupé de ce que l'on appelle "l'atténuation"atténuation"et le fait que Twitter ait commencé le traitement alors qu'il se trouvait encore dans un processus de consultation obligatoire avec le CPD en vertu de l'article 36 du GDPR. Le CPD ne semble pas s'intéresser aux violations fondamentales.
Max Schrems, président du noyb: "Les documents du tribunal ne sont pas publics, mais d'après l'audience, nous comprenons que le CPD ne remettait pas en question la légalité de ce traitement lui-même. Il semble que le CPD se préoccupe des soi-disant "mesures d'atténuation" et du manque de coopération de la part de Twitter. Le CPD semble prendre des mesures à la marge, mais s'éloigne du cœur du problème."
noyb demande une enquête approfondie. Dès la première audience, le DPC irlandais a conclu un accord avec Twitter (par le biais d'un "engagement") afin de suspendre jusqu'en septembre l'entraînement de l'algorithme avec les données de l'UE. Aucune décision sur la légalité n'a été prise et de nombreuses questions restent sans réponse. Par exemple : Qu'est-il advenu des données européennes déjà intégrées dans les systèmes et comment Twitter peut-il (correctement) séparer les données européennes des données non européennes ? C'est pour cette raison que le noyb a déposé des plaintes relatives au GDPR auprès des autorités de protection des données de neuf pays, afin de s'assurer que les principaux problèmes juridiques liés à la formation à l'IA de Twitter soient pleinement résolus. Plus les autres autorités de protection des données de l'UE s'impliqueront dans la procédure, plus la pression exercée sur l'autorité irlandaise de protection des données pour qu'elle donne suite à son affaire et sur Twitter pour qu'elle se conforme réellement à la législation de l'UE sera forte.
Max Schrems, président du noyb: "Nous avons vu d'innombrables exemples d'application inefficace et partielle par le DPC au cours des dernières années. Nous voulons nous assurer que Twitter respecte pleinement la législation européenne, qui exige - au minimum - de demander le consentement des utilisateurs dans ce cas."
Une solution simple : Il suffit de demander aux utilisateurs ! Le GDPR de l'UE offre une solution facile pour que les utilisateurs fassent "don" de leurs données personnelles pour le développement de l'IA - il suffit de demander aux utilisateurs leur consentement clair à un tel traitement. Si un petit nombre des 60 millions d'utilisateurs de Twitter consentait à l'entraînement de ses systèmes d'IA, Twitter disposerait de suffisamment de données d'entraînement pour n'importe quel nouveau modèle d'IA. Mais Twitter n'a pas l'intention de demander l'autorisation des utilisateurs. Au lieu de cela, il prend les données des utilisateurs sans les informer et sans leur demander l'autorisation.
Max Schrems, président du noyb: "Les entreprises qui interagissent directement avec les utilisateurs doivent simplement leur proposer un oui/non avant d'utiliser leurs données. Elles le font régulièrement pour beaucoup d'autres choses, et cela serait donc tout à fait possible pour l'apprentissage de l'IA."
Les intérêts commerciaux l'emportent-ils sur les droits fondamentaux des utilisateurs ? Normalement, le traitement des données à caractère personnel est illégal par défaut dans l'Union européenne. Par conséquent, pour traiter des données à caractère personnel, Twitter doit s'appuyer sur l'une des six bases juridiques prévues à l'article 6, paragraphe 1, du GDPR. Bien que le choix logique soit le consentement explicite, Twitter - tout comme Meta - affirme qu'il a un "intérêt légitime"intérêt légitime"qui l'emporte sur les droits fondamentaux des utilisateurs. Cette approche a déjà été rejetée par la Cour de justice dans une affaire concernant l'utilisation par Meta de données personnelles à des fins de publicité ciblée. Cependant, il semble que le DPC irlandais ait, au cours des derniers mois, "négociésur l'"intérêt légitime"intérêt légitime"dans le cadre d'une "consultation"en vertu de l'article 36 du GDPR.
Max Schrems : "Les faits que nous connaissons maintenant grâce à la procédure judiciaire irlandaise indiquent que le DPC n'a pas vraiment remis en question la question centrale, qui est de prendre toutes ces données personnelles sans le consentement de l'utilisateur."
Information fournie par un message X "viral". Comme indiqué plus haut, Twitter n'a jamais informé ses utilisateurs de manière proactive que leurs données personnelles étaient utilisées pour entraîner l'IA - même s'il leur envoie des notifications chaque fois que quelqu'un aime ou retweete leurs messages. Au contraire, il semble que la plupart des gens aient découvert le nouveau paramètre par défaut par le biais d'un message viral d'un utilisateur nommé @EasyBakedOven le 26 juillet 2024, soit plus de deux mois après le début de la formation à l'IA.
Qu'en est-il des autres droits conférés par le GDPR ? À l'heure actuelle, les fournisseurs de systèmes d'IA affirment en grande partie qu'ils ne sont pas en mesure de respecter les autres exigences du GDPR, telles que le droit à l'oubli (article 17 du GDPR), une fois que les données ont été intégrées dans leurs systèmes d'IA. De même, les entreprises ont tendance à affirmer qu'elles ne peuvent pas répondre aux demandes d'obtention d'une copie des données à caractère personnel contenues dans les données de formation ou des sources de ces données (comme l'exige l'article 15 du GDPR), ni corriger les données à caractère personnel inexactes (comme l'exige l'article 16 du GDPR). Cela soulève des questions supplémentaires lorsqu'il s'agit de l'ingestion illimitée de données à caractère personnel dans les systèmes d'IA.
Les violations du GDPR à grande échelle justifient une procédure d'urgence. Étant donné que Twitter a déjà commencé à traiter les données des personnes pour sa technologie d'IA, et qu'il n'y a pratiquement aucune option pour supprimer les données ingérées, noyb a demandé une "procédure d'urgence" en vertu de l'article 66 du GDPR. Les autorités de protection des données (APD) de neuf pays européens (Autriche, Belgique, France, Grèce, Irlande, Italie, Pays-Bas, Pologne et Espagne) ont reçu une telle demande au nom des personnes concernées. L'article 66 autorise les autorités de protection des données à émettre des arrêts préliminaires dans des situations telles que celle décrite ci-dessus et permet une décision à l'échelle de l'UE par l'intermédiaire de l'EDPB. Le DPC irlandais et Meta Ireland ont déjà fait l'objet de deux "décisions contraignantes urgentes" de l'EDPB dans des situations similaires (voir la décision contraignante urgente 01/2023 et la décision contraignante urgente 01/2021).
Plusieurs dispositions du GDPR violées. Outre l'absence de base juridique valable, il est très peu probable que Twitter fasse correctement la distinction entre les données des utilisateurs de l'UE/EEE et celles d'autres pays où les personnes ne bénéficient pas de la protection du GDPR. Il en va de même pour les données sensibles visées à l'article 9 du GDPR (pour lesquelles l'"intérêt légitime), telles que les données révélant l'appartenance ethnique, les opinions politiques et les croyances religieuses, ainsi que d'autres données pour lesquelles l'argument de l'"intérêt légitime" n'est pas disponible en vertu de la loiintérêt légitime"pourrait théoriquement être invoqué. Avec l'introduction de sa technologie d'IA, Twitter semble avoir enfreint un certain nombre d'autres dispositions du GDPR, y compris les principes du GDPR, les règles de transparence et les règles opérationnelles. Dans l'ensemble, noybénumèrent au moins des violations de l'article 5, paragraphes 1 et 2, de l'article 6, paragraphe 1, de l'article 9, paragraphe 1, de l'article 12, paragraphes 1 et 2, de l'article 13, paragraphes 1 et 2, de l'article 17, paragraphe 1, point c), de l'article 18, paragraphe 1, point d), de l'article 19, de l'article 21, paragraphe 1, et de l'article 25 du GDPR.