Visé par plusieurs plaintes pour violation du RGPD, X (anciennement Twitter) s’est engagé à ne plus exploiter les données à caractère personnel de ses utilisateurs européens pour entrainer son programme d’intelligence artificiel (GROK). C’est vraisemblablement à nouveau sous la menace de la sanction que X s’est rétracté le 4 septembre 2024, comme avant lui Google, META,… Mais quels sont les blocages ? Le RGPD et l’IA sont-ils réellement inconciliables au point de limiter l’UE à des modèles d’IA bridés, compromettant sa compétitivité face aux États-Unis ?
Le contexte de la plainte
Ce n’est autre que Noyb, cette organisation autrichienne bien connue pour sa lutte contre les abus des géants de la Tech, qui a déposé des plaintes contre la plateforme dans huit pays européens pour violation du RGPD (Règlement Général sur la Protection des données). Pour cause ? X utiliserait les données à caractère personnel de 60 millions utilisateurs européens pour entrainer son IA assistant de recherche (GROK), sans les informer ni leur demander leur consentement.
L’autorité de protection des données Irlandaise ayant engagé une action contre la société d’Elon Musk, celle-ci s’était d’abord engagée en août 2024 à suspendre les traitements concernés. Le 4 septembre, l’autorité irlandaise a annoncé par communiqué de presse l’annulation de la procédure en raison de l’engagement de X, cette fois-ci permanent, à cesser d’entrainer son outil avec des données d’utilisateurs européens. En réalité, cette issue ne contente en rien Noyb, qui constate notamment que les données collectées déjà ingérées de manière illégale ne seront pas supprimées…
Cette affaire représente un enjeu certain au moment où de très nombreuses entreprises mettent en place leurs modèles d’IA et prennent des décisions impactantes sur base des modèles des géants de la Tech.
Loin d’être un cas isolé
Ce dossier Twitter est loin d’être un cas isolé, l’IA défraye la chronique et les plaintes contre les systèmes d’IA fleurissent :
- Pour les mêmes motifs (manque de transparence, absence de consentement, …), Meta avait aussi fait l’objet de plusieurs plaintes en juin 2024 ;
- Il en est de même pour Google qui avait lui aussi accepté de retarder le déploiement de son robot conversationnel (Alphabet) ;
- Le 3 septembre 2024, l’autorité hollandaise de protection des données a imposé une amende de plusieurs millions à Clearview AI, un fournisseur de services de reconnaissance faciale, notamment pour avoir construit une base de données de milliards de photos sans base de licéité et sans transparence ;
- En mars 2023, l’autorité Italienne de protection des données avait décidé de bloquer l’accès à ChatGPT notamment parce qu’aucune vérification de l’âge de l’utilisateur n’était effectuée. L’interdiction avait ensuite été levée suite aux engagements d’OpenAI de modifier ses contrôles et informations fournies aux utilisateurs ;
- En août 2023, une plainte a été déposée contre OpenAI pour plusieurs violations du règlement européen sur la protection des données personnelles (absence de base de licéité pour traiter les données, manque de transparence, impossibilité d’exercer le droit d’accès, etc.).
- Annoncé le 12 septembre, Google fait actuellement l’objet d’une enquête par l’Autorité Irlandaise afin de considérer si son outil GenAI aurait dû faire l’objet d’une analyse d’impact (DPIA), obligation légale du RGPD pour évaluer de manière proactive les risques que ses technologies d’IA pourraient représenter pour les droits et libertés des personnes dont les informations ont été utilisées pour former ses modèles.
RGPD et IA : où sont les blocages ?
La base de licéité pour le traitement des données
Entrainer un outil d’intelligence artificielle requiert inévitablement un très grand nombre de données. Certaines parmi elles sont des données à caractère personnel, si bien que le RGPD s’applique.
Pour rappel, le RGPD prévoit que chaque traitement de donnée doit se fonder sur une des 6 bases de licéité prévues par le RGPD, parmi lesquelles figure le consentement, mais aussi notamment l’intérêt légitime. Fonder un traitement sur l’intérêt légitime implique d’effectuer au préalable une balance entre les intérêts du responsable de traitement et les droits et libertés des personnes concernées par le traitement de données. Dans l’hypothèse où le test d’équilibre ne penche pas en faveur du responsable de traitement, il convient de mettre en place des garanties adéquates telles que des critères de collecte, des mesures techniques de sécurisation, des critères de minimisation, des techniques d’anonymisation, etc.
En l’occurrence, Twitter affirme avoir un intérêt légitime qui l’emporte sur les droits des utilisateurs et ne pas devoir demander le consentement. Cette position avait pourtant déjà été rejetée par la cour de justice (arrêt C-252/21) concernant le suivi de la publicité en ligne par META. C’est par ailleurs de la même manière que l’autorité Italienne avait considéré que OpenAI ne pouvait baser ses traitements de données sur son intérêt légitime, suite à quoi OpenAI a opté pour le consentement comme base de licéité.
La responsabilité
La responsabilité du traitement incombe au responsable du traitement, c’est-à-dire à celui qui collecte ou traite les données pour son propre compte.
A cet égard, l’on constate que certains acteurs tentent parfois (et en vain) de faire reposer la responsabilité des données sur l’utilisateur en incluant dans ses conditions générales une clause en ce sens. D’autres évoquent avoir collecté exclusivement des données publiques pour écarter leur responsabilité, mais il convient de rappeler à cet égard que collecter ou scrapper des données disponibles publiquement sur internet ne permet pas de leur ôter leur caractère personnel, et le RGPD s’applique toujours.
L’exercice des droits
Bien que le RGPD prévoit un certain nombre de droits que la personne peut exercer sur ses données (accès, rectification, effacement…), nombre d’acteur en IA le concèdent : il est souvent impossible de fournir une copie des données, d’informer l’utilisateur quant à la source des données comme exigé par l’article 15 du RGPD, ni même de la rectifier.
Les autres principes du RGPD
Le RGPD prévoit d’autres principes tels que la minimisation, l’exactitude, … des principes qui sont largement challengés par l’IA dont l’efficacité dépend souvent du volume de données injectées, qui génère des données parfois fictives et inexactes, …
La compétitivité européenne mise à mal par sa règlementation ?
L’UE à la croisée des chemins ?
Suite aux multiples plaintes, META, Google, Twitter, … ont décidé de ne pas entrainer leurs modèles d’IA avec les données d’européens. Une victoire pour la protection des données selon certains, mais les géants du secteur technologique ne le perçoivent pas de la même manière et critiquent une législation européenne fragmentée et incohérente en matière de protection des données et intelligence artificielle :
« Avec plus de développeurs open source que l’Amérique, l’Europe est particulièrement bien placée pour tirer le meilleur parti de cette vague d’IA open source. Pourtant, sa structure réglementaire fragmentée, criblée d’incohérences dans la mise en œuvre, freine l’innovation et freine les développeurs. Au lieu de règles claires qui informent et guident la manière dont les entreprises font des affaires sur tout le continent, notre secteur est confronté à des réglementations qui se chevauchent et à des directives incohérentes sur la manière de s’y conformer. Sans changements urgents, les entreprises, les universitaires et d’autres acteurs européens risquent de passer à côté de la prochaine vague d’investissements technologiques et d’opportunités de croissance économique ».
Rejoint par d’autres acteurs du domaine, ont rédigé une lettre ouverte « l’Europe a besoin de sécurité réglementaire sur l’IA ». Ils déplorent les incohérences qu’il existe entre les règlementations sur l’IA et les données à caractère personnel, mais aussi entre les interprétations que les autorités européennes tiennent : « [les autorités européennes] ont créé une énorme incertitude quant aux types de données pouvant être utilisées pour former les modèles d’IA. Cela signifie que la prochaine génération de modèles d’IA open source, ainsi que les produits et services que nous développerons à partir de ces modèles, ne comprendront ni ne refléteront les connaissances, la culture ou les langues européennes ».
Ils estiment que l’IA générative pourrait augmenter le PIB mondial de 10% au cours de la prochaine décennie et que l’UE risque d’être privée de cette croissance. La lettre ouverte vise à donner le choix à l’UE : « L’UE peut choisir de réaffirmer le principe d’harmonisation inscrit dans des cadres réglementaires tels que le RGPD et de proposer une interprétation moderne des dispositions du RGPD qui respecte toujours ses valeurs sous-jacentes, afin que l’innovation en matière d’IA se produise ici à la même échelle et à la même vitesse qu’ailleurs. Ou bien, elle peut continuer à rejeter les progrès, à contredire les ambitions du marché unique et à regarder le reste du monde s’appuyer sur des technologies auxquelles les Européens n’auront pas accès ».
Les autorités de protection des données affirment la compatibilité du RGPD à l’IA
Les autorités de protection des données ne tiennent pas le même discours que META. L’Autorité française par exemple, la CNIL, confirme la compatibilité des recherches et développements de l’IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions : « Le développement de systèmes d’IA est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes. C’est à cette condition que les citoyens feront confiance à ces technologies ».
L’APD (belge) a elle aussi publié récemment des lignes directrices sur l’IA dans laquelle elle souligne la complémentarité entre l’IA et le RGPD.
Il convient d’ailleurs de constater que l’IA permet vraisemblablement d’optimiser les processus mis en place afin de respecter le RGPD. Elle peut notamment permettre d’identifier et de cartographier les données, d’analyser le fonctionnement d’une société et d’en réaliser son registre des traitements, de faire des analyses de risques, de surveiller des anomalies afin de détecter des fuites de données, de gérer la conservation des données, de gérer les demandes d’exercices de droits, etc.
En ce qui nous concerne, nous ne voyons pas le RGPD comme un frein à l’innovation, mais un gage de confiance et de durabilité pour les technologies dont l’IA fait partie. En portant réellement la réflexion sur les règles du RGPD, l’on constate qu’il est systématiquement possible de mettre en place un outil d’IA efficace tout en offrant un cadre sécurisé et éthique.
Notre cabinet d’avocats est à votre disposition pour vous accompagner dans la mise en place de solutions conformes au RGPD, tout en maximisant les opportunités qu’offre l’IA pour votre entreprise.
Cet article a été rédigé par :
