La politique de confidentialité de Meta pour entraîner ses modèles d'IA est contestée devant les Cnil

L'association autrichienne Noyb spécialisée dans la défense de la protection de la vie privée a annoncé ce jeudi 6 juin avoir déposé des plaintes devant les autorités de protection des données de 11 pays européens, dont la France, contre Meta. L'objectif : faire annuler la prochaine mise à jour de sa politique de confidentialité sur l'intelligence artificielle. 

Le traitement des données "pour l'IA"

Devant entrer en vigueur le 26 juin prochain, la nouvelle politique vise à "inclure la manière avec laquelle [Meta] utilise les informations pour l'IA chez Meta" pour les utilisateurs européens de ses services. L'utilisateur doit cliquer sur un lien, disponible sur la page dédiée à l'actuelle politique de confidentialité, pour savoir quelles sont les données collectées et à quoi vont-elles servir. Pour "développer et améliorer la technologie d'intelligence artificielle", Meta va collecter et traiter un ensemble de données. Il s'agit du contenu créé par les internautes (publications, commentaires et fichiers audio), les messages envoyés aux entreprises, aux comptes professionnels ou à Meta ainsi que le contenu et les métadonnées des messages "sous réserve de la loi applicable". Sont également concernées les applications et les fonctionnalités. 

Meta précise en revanche ne pas utiliser "le contenu de vos messages privés échangés avec vos ami·es et votre famille pour l’entraînement de nos modèles d’IA". Une précision qui n'a pas suffi à convaincre Noyb. Dans sa plainte déposée devant la Commission nationale de l'informatique et des libertés (Cnil), elle relève plusieurs manquements au Règlement général sur la protection des données (RGPD).

Elle estime ainsi que Meta n'a aucun intérêt légitime et "aucune autre base légale" pour traiter des "quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées". En effet, ajoute-t-elle, la notion "d'intelligence artificielle" n'est pas définie. Il s'agit "d'un terme extrêmement large décrivant un ensemble indéterminé de technologies établies de longue date, actuelles et futures, vaguement connectées", rétorque-t-elle. 

Des fonctionnalités et expériences d'IA générative 

Sur la page dédiée à sa nouvelle politique, Meta a intégré un lien cliquable sur "AI au sein de Meta". Il s'agit du nom donné à l'ensemble des "fonctionnalités et expériences d’IA générative, comme Meta AI et les outils de création par IA, ainsi que les modèles qui les alimentent". Son objectif, peut-on lire, est de "résoudre des problèmes complexes, stimuler l’imagination et donner vie à des créations inédites", telles que les "réponses en temps réel dans une discussion" ou encore "l'aide à l’organisation et à la planification des vacances". 

Noyb note également que Meta n'a proposé "aucune limitation sur l'âge des données d'entraînement", ni de pseudonymiser les données collectées ou de les limiter "de quelque manière que ce soit". Aussi, Meta ne limite pas non plus l'utilisation des données personnelles (qui seront contenues dans tout modèle d'IA) à un usage interne par Meta ou au sein des produits Meta, mais prévoit explicitement que toute "technologie d'intelligence artificielle" peut également être fournie à des "tiers", conteste la plainte. 

Une procédure d'opt-out trop complexe 

Meta a mis en place une procédure d'opt-out pour les personnes ne souhaitant pas que leurs données soient utilisées pour entraîner ses modèles d'IA. Or, pour Noyb, celle-ci est bien trop complexe pour que le droit d'opposition puisse réellement s'appliquer. "Meta a pris toutes les mesures nécessaires pour dissuader les personnes concernées d'exercer leur droit de choisir", juge-t-elle. Elle mentionne des "dark patterns considérables". En effet, Meta n'a pas fourni de "désabonnement en un seul clic". 

Noyb espère donc que les autorités nationales décident d'une interdiction provisoire de cette nouvelle politique de confidentialité via l'European Data Protection Board (EDPB), organisme européen indépendant qui réunit les Cnil. Elle prévoit également de déposer des plaintes dans les autres États membres de l'UE dans les jours à venir.