Après ChatGPT et le RGPD, autour du réseau social d’Elon Musk. X.com, anciennement Twitter, est sous le feu des projecteurs après avoir été accusé de violer le Règlement Général sur la Protection des Données (RGPD) dans 9 pays européens, incluant la France. Cette affaire soulève des questions sur la protection des données personnelles, alors que l’entreprise d’Elon Musk aurait utilisé les informations de millions d’utilisateurs pour entraîner son programme d’intelligence artificielle, Grok, sans leur consentement.
Pourquoi X.com est-il accusé dans 9 pays européens ?
Après une accusation de désinformation pour cause de fake news, X doit faire face à de nouvelles accusations, cette fois-ci pour une utilisation illégale des données de ses utilisateurs. L’affaire a pris une tournure internationale lorsque l’association noyb, spécialisée dans la protection de la vie privée en ligne, a découvert que X.com exploitait les données personnelles de ses utilisateurs européens pour son IA, Grok. Ce programme aurait été nourri par ces données sans le consentement explicite des utilisateurs, une pratique qui contrevient aux normes strictes du RGPD. Cette découverte a été faite par un utilisateur qui a révélé l’information sur les réseaux sociaux, déclenchant une vague d’indignation.
Suite à cette révélation, noyb a déposé des plaintes dans 9 pays : Autriche, Belgique, France, Grèce, Irlande, Italie, Pays-Bas, Espagne et Pologne. Ces plaintes visent à forcer X.com à se conformer aux droits des utilisateurs européens, en matière de protection des données. En Irlande, la Commission de protection des données (DPC) a déjà suspendu temporairement cette pratique, mais noyb réclame une enquête plus approfondie.
Quels articles du RGPD ont été potentiellement enfreints par X.com ?
X.com est accusé d’avoir enfreint plusieurs articles du RGPD. D’abord, l’article 6 exige que le traitement des données personnelles soit justifié par l’une des six bases juridiques établies. Dans ce cas, l’entreprise aurait dû obtenir le consentement explicite des utilisateurs avant de traiter leurs données pour entraîner une IA.
L’article 13 oblige les entreprises à informer les utilisateurs de l’utilisation de leurs données. Cependant, X.com n’a pas respecté cette obligation, laissant les utilisateurs dans l’ignorance totale de cette pratique. De plus, l’article 17, connu sous le nom de « droit à l’oubli« , permet aux utilisateurs de demander la suppression de leurs données, une tâche qui devient compliquée lorsque ces informations sont intégrées dans un modèle d’IA.
Les articles 15 et 16 du RGPD garantissent respectivement le droit d’accès et de rectification des données personnelles. Encore une fois, l’utilisation des données par X.com dans son IA pourrait rendre difficile l’exercice de ces droits. Enfin, l’article 25 impose une protection des données dès la conception et par défaut, ce que X.com semble avoir négligé en utilisant ces données sans distinction.
Quelles sont les conséquences potentielles pour X.com ?
On sait que l’Europe souhaite réglementer l’usage de l’IA, et cette dernière multiplie les initiatives comme l’AI Act, qui vise à encadrer l’usage de ces technologies. Les plaintes déposées par ces 9 pays européens pourraient avoir des conséquences graves pour X.com. En cas de non-conformité avérée, l’entreprise pourrait être condamnée à de lourdes amendes, en plus de subir une perte de confiance significative de la part de ses utilisateurs. La situation actuelle met en lumière l’importance du RGPD et des obligations