La Commission de protection des données (DPC) irlandaise a annoncé le 8 août dernier avoir obtenu du réseau social X la suspension du traitement des données à caractère personnel contenues dans les publications publiques de ses utilisateurs dans l’UE/EEE, traitées entre le 7 mai 2024 et le 1er août 2024. NOYB, estimant cet engagement insuffisant, a fait savoir ce lundi 12 août qu’elle a porté plainte auprès des organismes compétents dans neuf pays européens contre X afin d’obtenir une enquête complète.
Noyb est une organisation à but non lucratif basée à Vienne, en Autriche, qui vise à faire respecter les droits à la vie privée et à la protection des données personnelles. Elle a notamment porté plainte contre OpenAI auprès de l’autorité autrichienne de protection des données, et plus récemment, déposé 11 plaintes contre Meta qui ont poussé ce dernier à suspendre l’utilisation des données personnelles de ses utilisateurs dans l’UE/EEE.
Une violation flagrante du RGPD
En mai 2024, X a commencé à utiliser les données personnelles de plus de 60 millions d’utilisateurs européens, notamment pour développer son IA “Grok”. Cependant, cette initiative s’est faite sans aucune communication préalable avec les utilisateurs, et surtout, sans leur consentement explicite, un élément pourtant fondamental du RGPD. Au contraire, il semble que le nouveau paramètre par défaut permettant d’utiliser ces données par X, le réseau social d’Elon Musk, et sa start-up xAI à l’origine de Grok, ait été révélé grâce à une publication virale d’un utilisateur nommé « @EasyBakedOven » le 26 juillet dernier.
L’intervention de la DPC irlandaise : une action mitigée
Face à ces manquements, la DPC a lancé une procédure judiciaire pour mettre un terme à ce traitement illégal des données et dès la première audience, a conclu un accord avec X pour suspendre l’entraînement de l’algorithme avec les données de l’UE jusqu’en septembre. Toutefois, Noyb critique l’action en justice de la DPC pour son manque de fermeté. Selon Max Schrems, président de l’organisation, la DPC ne remet pas en cause la légalité du traitement des données par Twitter, mais se concentre plutôt sur des questions secondaires, comme les mesures d’atténuation et le manque de coopération de l’entreprise.
Neuf plaintes contre X
Estimant que la réponse de la DPC est insuffisante, Noyb a déposé neuf plaintes auprès des autorités de protection des données (APD) en Autriche, en Belgique, en France, en Grèce, en Irlande, en Italie, aux Pays-Bas, en Pologne et en Espagne. Ces plaintes, qui visent à garantir une enquête complète, soulignent le non-respect par X des principes fondamentaux du RGPD, tels que le consentement préalable, le droit à l’oubli, les règles de transparence et la protection des données sensibles.
Selon Noyb,“Plus d’autres APD de l’UE s’impliquent dans la procédure, plus la pression est forte sur le DPC irlandais pour qu’il donne suite à son affaire et sur Twitter(X) pour qu’il se conforme réellement au droit de l’UE”
Max Schrems, président de Noyb, commente :
“Nous avons constaté d’innombrables cas d’application inefficace et partielle de la part de la DPC au cours des dernières années. Nous voulons nous assurer que Twitter respecte pleinement la législation de l’UE, qui exige – au strict minimum – de demander le consentement des utilisateurs dans ce cas.”
Une solution simple : demander le consentement des utilisateurs
Le RGPD offre une solution claire à cette problématique : demander le consentement explicite des utilisateurs avant de traiter leurs données personnelles. Si X avait suivi cette démarche, même un faible pourcentage de consentements aurait suffi pour constituer un ensemble de données d’entraînement pour ses modèles d’IA. Cependant, l’entreprise a préféré ignorer cette étape cruciale, mettant en avant un “intérêt légitime” pour justifier ses actions, une position déjà rejetée par la Cour de justice de l’Union européenne dans des affaires similaires.
Une procédure d’urgence en vertu de l’article 66 du RGPD
Devant l’ampleur des violations, Noyb a demandé l’application de la procédure d’urgence prévue par l’article 66 du RGPD. Cette disposition permet aux autorités de protection des données d’intervenir rapidement en cas de violation grave, avec la possibilité d’adopter des mesures contraignantes à l’échelle de l’Union européenne.
