L'entreprise lituanienne Whitebridge AI vend des "rapports de réputation sur toute personne ayant une présence en ligne. Ces rapports compilent de grandes quantités d'informations personnelles récupérées sur des personnes peu méfiantes, qui sont ensuite vendues à quiconque est prêt à payer pour les obtenir. Certaines données ne sont pas factuelles, mais générées par l'IA et comprennent des suggestions de sujets de conversation, une liste de prétendus traits de personnalité et une vérification des antécédents pour voir si vous avez partagé des contenus adultes, politiques ou religieux. Malgré le droit légal d'accès libre à ses propres données, Whitebridge.ai ne vend que des "rapports" aux personnes concernées. Il semble que le modèle économique repose en grande partie sur les utilisateurs effrayés qui souhaitent consulter leurs propres données qui ont été compilées de manière illégale. noyb a déposé une plainte auprès de l'autorité lituanienne de protection des données.
Un "rapport de réputation" en ligne alimenté par l'IA. Sur son site Internet, Whitebridge AI présente ses services comme un outil d'IA qui "trouvera tout ce qui vous concerne en ligne"et vous propose de "rechercher vous-même, votre partenaire ou vos prospects". Les rapports sur les personnes comprennent les données des médias sociaux, les mentions dans les rapports d'actualité, les photos, "profils cachés et "presse négative". L'outil effectue également une sorte de "vérification des antécédents" pour déterminer si un contenu adulte, criminel, toxique, politique ou religieux concernant des personnes est disponible en ligne. Les résultats sont en grande partie de mauvaise qualité et semblent être des textes d'IA générés de manière plutôt aléatoire sur la base de données en ligne récupérées illégalement. Whitebridge propose même de surveiller la présence en ligne d'une personne. Enfin, le rapport comprend également des "lignes directrices en matière d'interaction" "lignes directrices en matière d'interaction avec les choses à faire et à ne pas faire pour les conversations potentielles, une liste de traits de personnalité, des préférences et un certain nombre de photos tirées des médias sociaux et d'autres sources en ligne.
La publicité en ligne de Whitebridge s'adresse-t-elle aux personnes affectées elles-mêmes ? De manière surprenante, la publicité en ligne de Whitebridge semble principalement viser les personnes affectées elles-mêmes, avec des slogans tels que "c'est un peu effrayant"et "vérifiez vos propres données". L'idée de Whitebridge AI semble être de générer des données personnelles carrément effrayantes sur les personnes, en leur causant de l'anxiété, puis de faire payer l'accès à ces données. Cependant, l'article 15 du GDPR donne aux individus le droit d'obtenir une copie gratuite de leurs données.
Lisa Steinfeld, avocate spécialisée dans la protection des données chez noyb: "Whitebridge AI a tout simplement un modèle commercial très louche qui vise à effrayer les gens pour qu'ils paient pour leurs propres données collectées illégalement. En vertu de la législation européenne, les citoyens ont le droit d'accéder gratuitement à leurs propres données."
la "liberté d'entreprendre" comme argument pour violer le GDPR ? Dans son avis de confidentialité, Whitebridge affirme simplement que son traitement des données personnelles est légal et conforme à sa "liberté d'entreprendre". Ce faisant, Whitebridge ne tient pas compte du fait que toute activité commerciale doit être exercée dans le respect de la loi, y compris du GDPR. Mais ce n'est pas tout : Whitebridge AI n'a même pas de base légale pour traiter toutes ces données personnelles. Au lieu de cela, l'entreprise affirme ne traiter que des données provenant de "sources accessibles au public". En réalité, la plupart de ces données proviennent de pages de réseaux sociaux qui ne sont pas indexées ou trouvées par les moteurs de recherche. Cela a déjà été clairement établi par la jurisprudence de la CJUE, qui a confirmé dans l'affaire C-252/21 que la saisie d'informations sur une application de réseau social ne constitue pas un acte "manifestement public", ce qui est le seuil prévu à l'article 9 du RGPD.
Lisa Steinfeld, avocate spécialisée dans la protection des données chez noyb: une simple référence à la prétendue "liberté d'entreprise" d'une société ne l'autorise manifestement pas à ignorer la loi. Pendant ce temps, Whitebridge collecte toutes les informations personnelles qu'elle peut trouver sur les réseaux sociaux et ne prend même pas la peine de se demander si elle dispose d'une base juridique valable pour le traitement."
Allégation de "nudité sexuelle" ou de "contenu politique dangereux". Pour savoir s'ils étaient également concernés, les plaignants ont recherché leur nom sur le site web de Whitebridge. Ils se sont vite rendu compte que n'importe qui pouvait acheter un rapport contenant leurs informations sans qu'ils en soient jamais informés. Les deux plaignants ont donc déposé une demande d'accès en vertu de l'article 15 du RGPD, mais n'ont reçu aucune information. Peu de temps après, le noyb a acheté les rapports sur les plaignants. Ils contenaient de faux avertissements pour "nudité sexuelle" et "contenu politique dangereux"qui sont considérés comme des données sensibles spécialement protégées en vertu de l'article 9 du GDPR. Peu de temps après, les plaignants ont donc demandé une rectification conformément à l'article 16 du GDPR. Au lieu d'obtempérer, Whitebridge AI a prétendu que les plaignants avaient besoin d'une "signature électronique qualifiée" pour exercer leurs droits en vertu de la législation de l'UE, parce que "[ ?les technologies modernes de l'IA permettent de plus en plus facilement de générer des documents falsifiés très convaincants". La législation de l'UE n'oblige personne à disposer d'une telle signature électronique.
Aitana Pallas, également de noyb: "La quantité de données personnelles traitées par Whitebridge AI est carrément effrayante, comme l'indique Whitebridge elle-même dans ses publicités pour le service. Cette situation est encore aggravée par le fait que Whitebridge AI ignore complètement les personnes concernées lorsqu'elles tentent d'exercer leurs droits."
Plainte déposée en Lituanie. noyb a donc déposé une plainte auprès de l'autorité de protection des données de Lituanie. Dans l'ensemble, Whitebridge AI a violé plusieurs dispositions du GDPR, notamment les articles 5, 9, 12 et 16 du GDPR. Nous demandons à Whitebridge AI de se conformer aux demandes d'accès des plaignants et de rectifier les données erronées contenues dans les rapports les concernant. Nous demandons également à l'entreprise de se conformer à ses obligations d'information, de cesser tout traitement illégal et de notifier aux plaignants le résultat d'une procédure de rectification. Enfin, nous suggérons à l'autorité d'imposer une amende afin d'éviter que des violations similaires ne se reproduisent à l'avenir.
