Les discussions n'auront pas suffi à convaincre la Data Protection Commission (DPC). Le gendarme irlandais de la protection des données a demandé à Meta de retarder le déploiement au sein de l'Espace économique européen de "Meta IA", sa "collection de fonctionnalités et d'expériences d'IA générative", a annoncé l'entreprise américaine le 14 juin.
"Nous sommes profondément déçus (...) en particulier puisque nous avons intégré les retours réglementaires et que les DPA [data protection authorities, ndlr] européennes en sont informées depuis mars", a ainsi écrit Stefano Fratta, global advocacy director en charge de la politique de confidentialité au sein de Meta. De son côté, la DPC a salué cette décision issue "d'un engagement approfondi" avec l'entreprise et les autres autorités de protection des données. L'Information Commissioner's Office (ICO), l'autorité britannique, s'est également félicité de cette suspension. "Afin de tirer le meilleur parti de l’IA générative et des opportunités qu’elle offre, il est crucial que le public puisse être sûr que son droit à la vie privée sera respecté dès le départ", a déclaré Stephen Almond, directeur exécutif du risque juridique à l'ICO.
Qui dit collecter de données, dit RGPD
Déjà disponibles dans d'autres endroits du monde, tels qu'aux Etats-Unis, Meta souhaitait déployer ses services incluant l'intelligence artificielle générative au sein de l'Espace économique européen (EEE), tels que son grand modèle de langage Llama et son assistant Meta AI, concurrent de ChatGPT et Bard. Nécessitant la collecte et la réutilisation des données personnelles de ses utilisateurs majeurs disponibles sur Facebook et Instagram, l'entreprise devait en informer les utilisateurs de ses services en vertu du Règlement général sur la protection des données (RGPD).
La campagne a débuté le 22 mai dernier par l'envoi d'un email ou directement sur les réseaux sociaux annonçant qu'à partir du 26 juin 2024, Meta allait collecter un ensemble de données publiquement disponibles pour "développer et améliorer la technologie d'intelligence artificielle". La nouvelle politique de confidentialité liste les données concernées : le contenu créé par les internautes (publications, commentaires et fichiers audio), les messages envoyés aux entreprises, aux comptes professionnels ou à Meta ainsi que le contenu et les métadonnées des messages. Meta précisait en revanche ne pas utiliser "le contenu de vos messages privés échangés avec vos ami·es et votre famille pour l’entraînement de nos modèles d’IA".
Noyb s'attaque à Meta
Pour justifier ce traitement de données personnelles, comme le RGPD l'exige, Meta se reposait sur l'intérêt légitime. "Cette base juridique constitue l'équilibre le plus approprié pour traiter les données publiques nécessaires à la formation de modèles d'IA, tout en respectant le droit des personnes", écrivait Stefano Fratta avant le coup d'arrêt. Un argument qui n'avait pas convaincu l'association Noyb, connue pour ses croisades contre Meta, qui avait déposé des plaintes devant les autorités de protection des données de 11 pays européens. Elle estimait que Meta n'avait aucun intérêt légitime, ni "aucune autre base légale" pour traiter "des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées".
Mais Meta n'a pas dit son dernier mot. "Nous continuerons à travailler avec la DPC afin que les citoyens européens aient accès au même niveau d'innovation en matière d'IA que le reste du monde (...)", écrit le global advocacy director. Ce que confirme l'autorité irlandaise : "La DPC, en coopération avec ses collègues autorités européennes chargées de la protection des données, continuera à collaborer avec Meta sur cette question".
Choisir le consentement plutôt que l'intérêt légitime ?
Il reste à savoir ce que proposera l'entreprise pour se conformer aux attentes des autorités européennes sachant que leurs arguments n'ont pas été rendus publics. Pourrait-elle par exemple changer de base légale en choisissant le consentement plutôt que l'intérêt légitime ? Pour rappel, en vertu du RGPD, le consentement doit être libre, spécifique, éclairé et univoque. Egalement, il doit être recueilli dans des conditions préalables assurant sa validité. En théorie, Meta peut préférer demander le consentement à chacun de ses utilisateurs. Mais rien ne lui assure qu'ils accepteront.
Il faudra également que ce choix passe l'étape des autorités de protection des données qui lui ont récemment interdit d'utiliser le consentement comme base légale pour collecter les données personnelles de ses utilisateurs à des fins de publicité ciblée. A la suite de deux arrêts de la Cour de justice de l'Union européenne et d'une décision de l'autorité néerlandaise de protection des données (Datatilsynet), le Comité européen à la protection des données (EDPB) a sommé la DPC d'interdire "le traitement des données personnelles à des fins de publicité comportementale sur les bases juridiques du contrat et de l'intérêt légitime".
Meta a décidé de se conformer à cette décision en proposant un abonnement payant à Facebook et Instagram permettant aux abonnés de profiter de ces services sans être visé par des publicités ciblées (leurs données personnelles continuent d'être collectées à d'autres fins). Cette pirouette a soulevé un vent de contestation. Après le dépôt de plusieurs plaintes, Meta a finalement annoncé vouloir baisser le prix de ses abonnements. Mais c'était sans compter l'avis du Comité européen de la protection des données qui a déclaré que le modèle "Pay or consent" n'était pas conforme aux règles européennes.
Collecter moins de données ?
Sans changer de base légale, Meta pourrait décider de modifier sa nouvelle politique de confidentialité en réduisant la quantité de données collectées pour alimenter ses algorithmes. Mais au risque de réduire leurs performances et donc leur intérêt. C'est d'ailleurs l'argument principal de l'entreprise : "sans inclure les données locales, nous ne pourrions offrir aux personnes qu'une expérience de second ordre" ajoutant que "si nous n'entraînons pas nos modèles sur le contenu public que les Européens partagent sur nos services et autres (...) alors les modèles et les fonctionnalités d'IA qu'ils alimentent ne comprendront pas avec précision les langues régionales importantes, les cultures ou les sujets d'actualité sur réseaux sociaux".
Meta pourrait aussi décider de simplifier le refus à sa nouvelle politique de confidentialité. Initialement, elle prévoyait un formulaire d'opposition dans lequel les personnes devaient présenter leurs arguments expliquant pourquoi elles souhaitaient que leurs données ne soient pas traitées. Interrogé sur cette stratégie par le média TechCrunch, Meta a renvoyé vers le billet de blog cité précédemment à propos du choix de l'intérêt légitime comme base légale. Mais, en simplifiant le droit d'opposition, le risque est une nouvelle fois que les utilisateurs refusent que leurs données soient utilisées.
Meta ne peut pas abandonner le marché européen
Une chose est sûre : dans la course à l'IA générative, Meta ne peut pas abandonner le marché européen. Facebook compte près de 258 millions d'utilisateurs européens et 257 millions pour Instagram. Cette base utilisateurs lui vaut la désignation de "très grande plateforme" au sens du Digital Services Act (DSA) et une enquête en cours sur la protection des mineurs ouverte par la Commission européenne.
Meta n'est pas la seule entreprise à utiliser des manoeuvres contestables voire illégales pour accéder à du contenu afin de développer des grands modèles de langage. Google, pour n'en citer qu'un, a récemment été condamné par l'Autorité de la concurrence à une amende de 250 millions d'euros pour ne pas avoir averti qu’il utilisait les contenus de presse pour entraîner son robot conversationnel Bard. C'est d'ailleurs l'un des arguments de Meta pour défendre sa stratégie : "nous sommes plus transparents que bon nombre de nos homologues du secteur". Or, peu importe son avis sur la concurrence, l'entreprise américaine doit désormais revoir sa copie et se plier aux règles européennes – dont l'AI Act récemment adopté – pour espérer lancer "Meta AI" un jour.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
