Le réseau social X visé par neuf plaintes relatives au traitement des données personnelles en Europe

Neuf plaintes relatives à la protection des données ont été déposées contre X (ex-Twitter) en Europe lundi 12 août, quelques jours après l’annonce par le réseau social de la suspension du traitement des données personnelles des utilisateurs de l’UE pour entraîner son modèle d’intelligence artificielle (IA) Grok.

Grok est développé par xAI, une société fondée par Elon Musk, et est utilisé comme assistant de recherche pour les comptes premium sur le réseau social.

Le 6 août, la Commission irlandaise de protection des données (Data Protection Commission, DPC) a demandé à un tribunal irlandais d’ordonner à la plateforme détenue par Elon Musk de suspendre ou de restreindre le traitement des données personnelles provenant des publications des utilisateurs européens afin d’entraîner son modèle d’IA.

Deux jours plus tard, X a accepté d’interrompre le traitement de ces données collectées entre le 7 mai et le 1er août, jusqu’à ce que le tribunal se prononce sur la demande de l’autorité irlandaise.

Le siège européen de l’entreprise américaine étant situé à Dublin, la DPC irlandaise est chargée de superviser la conformité de X vis-à-vis du règlement général sur la protection des données (RGPD) de l’UE.

Les neuf plaintes ont été déposées par l’ONG de défense des droits numériques Noyb – fondée par l’activiste et avocat Max Schrems – en Autriche, en Belgique, en France, en Grèce, en Irlande, en Italie, aux Pays-Bas, en Espagne et en Pologne.

Bien que Noyb prenne acte de l’annonce d’une suspension du traitement des données européennes, la DPC ne se serait pas attaquée au cœur du problème, à savoir la légalité du traitement lui-même, a expliqué l’ONG dans un communiqué de presse lundi.

À l’inverse, elle se serait plutôt concentrée sur les mesures d’atténuation et sur la question de la coopération de X avec les autorités.

Noyb dépose neuf plaintes afin que la conformité au RGPD des pratiques de X soit l’objet d’une enquête approfondie. L’ONG demande une procédure d’urgence aux différents régulateurs nationaux. Celle-ci peut inclure une décision du Comité européen de la protection des données (CEPD), l’organe chargé de superviser l’application du règlement dans l’ensemble de l’UE.

Concrètement, Noyb affirme que X a violé les principes du RGPD, qui requiert le consentement des utilisateurs, ainsi que les règles de transparence.

L’ONG s’interroge également sur la mise en œuvre des mesures d’atténuation proposées par X, la société n’ayant pas précisé ce qu’il adviendrait des données de ses plus de 60 millions d’utilisateurs en Europe déjà intégrées dans ses systèmes d’IA ou encore comment elle séparerait les données européennes et non européennes.

La DPC suscite des interrogations

Le bilan de la DPC en matière d’application du RGPD a été remis en question au cours des dernières années par les défenseurs des droits numériques.

«  Nous avons vu d’innombrables exemples d’application inefficace et partielle par la DPC au cours des dernières années  », a déclaré Max Schrems, président et fondateur de Noyb, dans le communiqué de presse.

Les observateurs ont interprété l’assignation en justice de X par la DPC comme un signe que, avec une nouvelle direction depuis février, l’autorité est en train de changer de trajectoire. C’est en effet la première fois qu’une autorité de protection des données de premier plan demande une décision de justice pour suspendre le traitement des données d’une entreprise, souligne la DPC.

Mais Noyb ne semble pas convaincue pour autant. L’ONG soutient que l’implication d’un plus grand nombre d’autorités de protection des données fera pression sur la DPC pour qu’elle « aille jusqu’au bout  » de l’affaire et sur X pour qu’elle se conforme réellement au RGPD.

La question du consentement

Noyb estime que la DPC contourne le problème principal dans cette affaire, à savoir que X n’a pas demandé aux utilisateurs de consentir au traitement de leurs données.

X « n’a jamais informé ses utilisateurs de manière proactive que leurs données personnelles étaient utilisées pour entraîner sa technologie d’IA Grok », note l’ONG viennoise, bête noire des géants de la tech, qui a déjà fait reculer Meta en juin sur le même sujet.

« Il semble que la plupart des gens aient découvert le nouveau paramètre par défaut » via le message d’un utilisateur le 26 juillet seulement, s’indigne l’organisation.

X a modifié sa politique de confidentialité afin d’inclure le traitement des données pour l’entraînement de l’IA en septembre 2023. Selon le juge chargé de l’affaire, le traitement des données des utilisateurs de l’UE pour entraîner Grok a commencé le 7 mai, et il n’a pas été donné aux utilisateurs la possibilité de s’opposer au traitement de leurs données, rapporte l’Irish Examiner.

Cette mesure a été prise sans tenir compte des risques précédemment révélés dans l’analyse des risques de X, exigée par la législation européenne, a écrit Johnny Ryan, directeur de mise en œuvre au Conseil irlandais pour les libertés civiles, sur LinkedIn.

On ne sait pas exactement quand la DPC a eu connaissance de cette situation, mais l’autorité et l’entreprise ont eu des discussions à ce sujet en juillet, a-t-il précisé.

X a proposé une atténuation «  renforcée  » qui s’appliquerait le 16 juillet 2024, ajoute Johnny Ryan — mais cette mesure n’a pas été appliquée à tous les utilisateurs, précise l’Irish Examiner.

Les géants de la tech dans le viseur de Noyb

L’association de défense des droits numériques Noyb, dont l’acronyme se réfère à None of your business (signifiant « Ce ne sont pas vos affaires »), est à l’origine de nombreuses plaintes contre plusieurs géants du web.

Rien que dans le cas de la société Meta, ses actions ont conduit à « des amendes administratives de plus de 1,5 milliard d’euros », rappelle-t-elle.

Le géant américain derrière Facebook et Instagram est visé par des plaintes de Noyb dans 11 pays européens. Il avait dû suspendre en juin son projet d’utilisation des données personnelles de ses utilisateurs dans un programme d’IA.

[Édité par Anne-Sophie Gayet]