Nouvelle controverse autour de Twitter, désormais connu sous le nom de « X ». La plateforme est accusée d’avoir utilisé illégalement les données personnelles de plus de 60 millions d’utilisateurs en Europe pour entraîner ses technologies d’intelligence artificielle (IA), notamment son système « Grok », sans leur consentement !
On vous détaille toute cette affaire dans notre article.
Une utilisation non autorisée des données des utilisateurs de Twitter
En mai 2024, Twitter a commencé à intégrer les données personnelles des utilisateurs européens dans ses systèmes d’IA sans les en informer ni obtenir leur consentement préalable. En effet, le réseau social d’Elon Musk avait activé discrètement et sans avertir les utilisateurs que désormais, leurs données seraient utilisées pour entraîner leur nouveau système d’IA, Grok.
Une fonctionnalité apparue et découverte par certains utilisateurs, dont le consentement n’avait nullement été récolté ! D’autant plus que pour désactiver cette fonctionnalité, les utilisateurs doivent utiliser l’accès web de Twitter, et non l’application !
Contrairement à Meta (anciennement Facebook), qui a arrêté d’utiliser les données personnelles des citoyens européens pour former ses systèmes d’IA sous la pression des régulateurs européens, Twitter a continué cette pratique illégale.
9 plaintes déposées contre twitter : première réaction d’une autorité de protection des données
La Data Protection Commission critiquée pour son laxisme
La Commission de Protection des Données (DPC) en Irlande, compétente pour sanctionner X, a lancé une procédure contre Twitter pour mettre fin à ce traitement illégal.
Cependant, les actions du DPC (équivalent de la CNIL) ont été vivement critiquées pour leur manque de fermeté. Selon Max Schrems, président de l’organisation noyb (None of Your Business), le DPC semble se concentrer davantage sur des « mesures d’atténuation » plutôt que sur la question centrale de la légalité du traitement des données. Le DPC a conclu un accord pour suspendre temporairement l’utilisation des données jusqu’en septembre, mais la légalité de la collecte des données reste non résolue.
Ce n’est pas la première fois que l’autorité irlandaise est critiquée pour la faiblesse de ses sanctions. En effet, en tant qu’autorité compétente pour sanctionner les GAMAM (Google, Amazon, Meta, Apple, Microsoft), celle-ci a souvent prononcé des sanctions jugées dérisoires par les associations de protection des données.
Cet article pourrait vous intéresser : Le Règlement Européen sur l’IA (AI Act) : Un Nouveau Cadre pour l’Intelligence Artificielle
Des plaintes déposées dans 9 pays
Face à ce manque d’action, NOYB* a déposé des plaintes auprès des autorités de protection des données de neuf pays européens : Autriche, Belgique, France, Grèce, Irlande, Italie, Pays-Bas, Espagne et Pologne. Ces plaintes visent à garantir que les violations du RGPD identifiées soient pleinement examinées et que Twitter se conforme aux exigences de la législation européenne.
*None Of Your Business (NOYB), l’association fondée par Max Schrems, est une association luttant pour la protection des données personnelles des citoyens européens.
Les dispositions du RGPD que Twitter (X) n’a pas respectées
Le RGPD prévoit des protections strictes pour les données personnelles des citoyens européens.
En effet, le RGPD, en son article 6, prévoit que le traitement des données sans consentement explicite de la personne concernée est illégal. Twitter semble avoir ignoré ces règles en prétendant avoir un « intérêt légitime » pour l’utilisation des données, une justification qui a été rejetée dans d’autres affaires similaires par la Cour de Justice de l’Union Européenne. En effet, un tel détournement de finalité requiert le consentement clair et explicite des utilisateurs, et ne saurait être justifié par l’intérêt légitime de Twitter.
De plus, les utilisateurs n’ont pas été informés de cette nouvelle utilisation de leurs donnée. Un manquement important, qui constitue une violation de l’article 13 du RGPD.
Par ailleurs, les droits des utilisateurs, tels que le droit à l’oubli et le droit d’accès aux données, sont également concernés. Twitter semble ne pas avoir pris les mesures nécessaires pour respecter ces droits : car une fois les données intégrées dans ses systèmes d’IA, leur suppression, correction ou leur simple accès devient très complexe.
Enfin, cette nouvelle fonctionnalité aurait dû être conçue selon le principe de Privacy by Design, qui implique la conformité RGPD de la fonctionnalité avant même sa mise en place. Notamment pour un projet impliquant l’utilisation de données personnelles de plus de 300 millions de personnes à travers le monde entier !
Une décision en urgence ?
En raison de la gravité de la situation et du risque de violations continues, NOYB a demandé une procédure d’urgence comme le prévoit l’article 66 du RGPD. Cette procédure permet aux autorités de protection des données de prendre des mesures préliminaires pour stopper immédiatement les violations en attendant une décision finale. Des décisions similaires ont été rendues dans des affaires antérieures concernant Meta et le DPC.
Cet article pourrait également vous intéresser : Artificial Intelligence Act : La CNIL répond aux premières questions.
Ce que vous pouvez faire dans l’attente
Si vous ne souhaitez pas que vos données soient utilisées pour l’entraînement de ce nouveau modèle d’IA, vous pouvez désactiver cette fonctionnalité depuis les paramètres de votre compte Twitter. Attention : cette fonctionnalité n’est accessible que depuis le web. En effet, vous ne pouvez pas désactiver cette fonctionnalité depuis l’application Twitter directement.
Conclusion
L’affaire Twitter (X) met en lumière des problèmes graves et actuels concernant la protection des données personnelles et la conformité au RGPD, mais également le fait que le RGPD n’épargne personne ! Même les géants américains sont concernés par la protection des données, et ce au même niveau qu’une TPE/PME ! Personne n’est à l’abri de sanctions et des amendes, pouvant s’élever jusqu’à 4% du CA !