Toutes les données non publiques pour une future « technologie IA » indéfinie. Contrairement à la situation déjà problématique des entreprises utilisant certaines données (publiques) pour former un système d’IA spécifique (par exemple un chatbot), la nouvelle politique de confidentialité de Meta stipule essentiellement que l’entreprise souhaite récupérer toutes les données publiques et les données d’utilisateurs non publiques qu’elle a collectées depuis. 2007 et les utiliser pour tout type indéfini de « technologie d’intelligence artificielle » actuelle et future. Cela inclut les nombreux comptes Facebook « dormants » avec lesquels les utilisateurs n’interagissent presque plus, mais qui contiennent encore d’énormes quantités de données personnelles. De plus, Meta affirme qu’elle peut collecter des informations supplémentaires auprès de tout « tiers » ou extraire des données de sources en ligne. La seule exception semble être les discussions de personne à personne, mais même les discussions avec une entreprise sont concernées. Les utilisateurs ne reçoivent aucune information sur les finalités de la « technologie IA », ce qui va à l’encontre des exigences du RGPD. La politique de confidentialité de Meta autoriserait théoriquement n’importe quelle fin. Ce changement est particulièrement préoccupant car il concerne les données personnelles d’environ 4 milliards d’utilisateurs de Meta, qui seront utilisées pour une technologie expérimentale pratiquement illimitée. Au moins les utilisateurs de l’UE/EEE devraient (en théorie) être protégés contre de tels abus par le RGPD.
Max Schrems : « Meta affirme en fait qu’elle peut utiliser « n’importe quelle donnée provenant de n’importe quelle Source, à n’importe quelle fin, et la rendre accessible à n’importe qui dans le monde », à condition que cela passe par la « technologie de l’intelligence artificielle ». Cela va clairement à l’encontre de la conformité au RGPD. Le terme « technologie IA » est extrêmement large. bases de données », il n’y a pas de véritable limite légale. Meta ne précise pas à quoi serviront les données, il peut donc s’agir d’un simple chatbot, d’une publicité personnalisée extrêmement agressive ou encore d’un drone tueur. Meta précise également que les données des utilisateurs peuvent être mises à la disposition de tout « tiers », c’est à dire de n’importe qui dans le domaine. monde.
Les intérêts de Meta l’emportent-ils sur les droits des utilisateurs ? Normalement, le traitement des données personnelles dans l’Union européenne est illégal par défaut. Meta doit donc s’appuyer sur l’une des six bases juridiques prévues à l’article 6, paragraphe 1, du RGPD pour traiter les données personnelles. Bien que le choix logique soit le consentement explicite, Meta affirme encore une fois qu’elle a un « intérêt légitime » qui prime sur les droits fondamentaux des utilisateurs. Meta a déjà avancé cet argument dans le cadre de l’utilisation de toutes les données personnelles à des fins publicitaires – et a été rejeté par la Cour de justice (voir C-252/21). Aujourd’hui, Meta utilise la même base juridique pour justifier une utilisation encore plus large et plus agressive des données personnelles des utilisateurs.
Max Schrems : «La Cour de justice de l’Union européenne a déjà clairement indiqué que Meta n’avait pas d’intérêt légitime à outrepasser le droit des utilisateurs à la protection des données en matière de publicité. Cependant, l’entreprise tente d’utiliser les mêmes arguments pour la formation à une « technologie IA » non définie. Il semble que Meta ignore une fois de plus de manière flagrante les arrêts de la CJUE.
L’objection est une farce. Meta tente même de rendre les utilisateurs responsables de la protection de leur vie privée en les dirigeant vers un formulaire d’objection (opt-out) que les utilisateurs sont censés remplir s’ils ne souhaitent pas que Meta utilise toutes leurs données. Alors qu’en théorie, l’opt-out pourrait être mis en œuvre de telle sorte qu’il ne nécessite qu’un seul clic (comme le bouton « se désabonner » dans les newsletters), Meta rend l’opposition extrêmement compliquée, même pour des raisons personnelles. Une analyse technique des liens d’exclusion a même montré que Meta nécessite une connexion pour afficher une page autrement publique. Au total, Meta demande à quelque 400 millions d’utilisateurs européens de s’y opposer, au lieu de leur demander leur consentement.
Max Schrems : « Imputer la responsabilité à l’utilisateur est complètement absurde. La loi exige que Meta obtienne le consentement de l’utilisateur et ne fournisse pas de formulaire de désinscription caché et trompeur. Si Meta veut utiliser vos données, il doit demander la permission. Au lieu de cela, il oblige les utilisateurs à mendier pour être exclus. Nous avons été particulièrement surpris de constater que Meta prenait même la peine d’intégrer des tonnes de petites distractions pour n’en assurer qu’une seule. un infime nombre d’utilisateurs prendrait la peine de s’y opposer”
Le DPC irlandais est complice (encore une fois). Selon certaines informations, cette violation flagrante du RGPD est (encore une fois) basée sur un « accord » avec la Commission irlandaise de protection des données (la DPC est le régulateur européen de Meta). Le DPC a déjà conclu un accord avec Meta qui a permis à l’entreprise de contourner le RGPD – et qui a abouti à une amende de 395 millions d’euros contre Meta après que le Comité européen de la protection des données (EDPB) a annulé la décision du DPC irlandais.
Max Schrems : «Il semble que la nouvelle direction du DPC continue de conclure des ‘accords’ illégaux avec de grandes entreprises technologiques américaines. Il est ahurissant que la DPC continue de laisser libre cours à l’utilisation abusive des données personnelles non publiques d’environ 400 millions d’utilisateurs européens. »
Date limite : 26 juin : Procédure d’urgence demandée. Étant donné que le traitement par Meta de la « technologie d’intelligence artificielle » non divulguée devrait déjà entrer en vigueur le 26 juin 2024, et que Meta affirme qu’il n’y a pas d’option de retrait à un stade ultérieur pour que vos données soient supprimées (comme prévu à l’article 17). du RGPD et du « droit à l’oubli »), non a demandé une « procédure d’urgence » au titre de l’article 66 du RGPD. Les autorités de protection des données (APD) de 11 pays européens (Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) ont reçu une telle demande au nom de personnes concernées locales. L’article 66 permet aux autorités de protection des données de rendre des jugements préliminaires dans des situations telles que celle décrite ci-dessus et permet une décision à l’échelle de l’UE par l’intermédiaire du CEPD. Le DPC irlandais et Meta Ireland ont déjà fait l’objet de deux « décisions contraignantes d’urgence » de l’EDPB (voir la décision contraignante d’urgence 01/2023 et la décision contraignante d’urgence 01/2021) dans des situations similaires.
Max Schrems : « Nous espérons que les autorités en dehors de l’Irlande prendront des mesures rapides et au moins arrêteront ce projet pour mener une enquête approfondie. L’EDPB a déjà pris deux décisions d’urgence de ce type à l’encontre de Meta et du commissaire irlandais à la protection des données. Il est triste de voir que cette mesure semble être nécessaire encore et encore.
D’autres problèmes. Outre l’absence de base juridique pour aspirer plus d’une décennie de données utilisateur, Meta a précédemment déclaré qu’elle était techniquement incapable de faire la distinction entre les données utilisateur de l’UE/EEE et d’autres pays où les personnes ne bénéficient pas de la protection du RGPD. Meta a également déclaré qu’elle n’était pas en mesure de distinguer les données sensibles au sens de l’article 9 du RGPD, telles que l’origine ethnique, les opinions politiques, les convictions religieuses (pour lesquelles l’argument de « l’intérêt légitime » n’est pas disponible en vertu de la loi), et d’autres. des données pour lesquelles un « intérêt légitime » pourrait théoriquement être invoqué. Avec l’introduction de sa technologie d’IA, Meta semble avoir violé un certain nombre d’autres dispositions du RGPD, notamment les principes, les règles de transparence et les règles opérationnelles du RGPD. Dans l’ensemble, les plaintes de non signaler les violations de Articles 5, paragraphes 1 et 2, 6, paragraphe 1, 9, paragraphe 1, 12, paragraphes 1 et 2, 13, paragraphes 1 et 2, 17, paragraphe 1, point c), 18, paragraphe 1. (d), 19, 21, paragraphe 1 et 25 du RGPD.
Max Schrems : « Avec l’approche consistant à utiliser simplement n’importe quelle donnée à n’importe quelle fin pour n’importe quelle « technologie d’IA », Meta a clairement quitté presque tout le cadre du RGPD. Nous avons recensé des violations d’au moins dix articles de loi.»
Prochaines étapes. Les autorités chargées de la protection des données concernées devront désormais décider rapidement si elles doivent lancer une procédure d’urgence ou traiter les plaintes selon une procédure normale. Il y a deux jours, l’autorité norvégienne de protection des données a déjà publié un article de blog dans lequel elle déclarait qu’il était « douteux » (« tvilsomt ») que l’approche de Meta soit légale. Une procédure d’urgence pourrait conduire à une interdiction provisoire rapide et à une décision finale de l’EDPB dans quelques mois. Si les plaintes déposées aujourd’hui constituent une première étape, il semble plausible que d’autres organisations donnent suite à ces plaintes par des injonctions, des actions civiles ou même des recours collectifs, si Meta va de l’avant avec ses projets. Les actions de non contre Meta ont jusqu’à présent donné lieu à des amendes administratives de plus de 1,5 milliard d’euros.
Plaignants pour d’autres États membres de l’UE. non envisage de déposer des plaintes dans d’autres États membres de l’UE dans les prochains jours. Les utilisateurs de ces États membres peuvent signaler leur intérêt à devenir plaignant via le formulaire suivant.
*La plainte en Norvège a été déposée conjointement avec le Conseil norvégien des consommateurs (« NCC »). Pour plus d’informations, voir www.forbrukerradet.no.
