Skip to main content Skip to page footer
dataring logo dataring logo

Meta et RGPD : Quand l’IA lit entre nos likes

News

« L'intelligence artificielle n’est qu’une extension de l’informatique, pas une révolution magique ». Cette réflexion de Tariq Krim résonne fortement aujourd’hui, alors que Meta (maison mère de Facebook, Instagram et WhatsApp) annonce une mise à jour majeure de sa politique de confidentialité. À compter du 27 mai 2025, le géant américain prévoit d'utiliser les contenus publics des utilisateurs adultes de l'Union européenne pour entraîner ses modèles d'IA, notamment son agent conversationnel Meta AI. Cette décision fait suite à une suspension temporaire en 2024 par l'autorité de protection de données irlandaise pour manque de transparence, consécutive aux préoccupations soulevées par des groupes de défense de la vie privée tels que NOYB (None Of Your Business, association créée par Max Schrems). Une évolution qui suscite nécessairement des préoccupations juridiques légitimes, notamment sous le prisme du RGPD.

 

Quelles conséquences concrètes pour les utilisateurs européens ?

 

Ce changement de politique concernera aussi bien les données anciennes que celles générées à l’avenir, notamment :

  • Les données contenues dans les publications publiques des utilisateurs adultes (textes, photos, commentaires, etc.) ;
  • Les données issues des interactions de ses utilisateurs, quel que soit leur âge, avec les services d’IA, par exemple les informations saisies dans son agent conversationnel ;
  • Certaines informations et activités restant toujours publiques, quand bien même le compte est privé, à savoir :
  • Votre nom ;
  • Votre nom d’utilisateur Facebook et Instagram ;
  • Votre photo de profil ;
  • Votre activité dans les groupes, Pages Facebook et canaux publics ;
  • Votre activité sur des contenus publics, telle que vos commentaires, évaluations ou avis sur Marketplace ou sur un compte Instagram public ;
  • Vos avatars ;
  • Votre genre.

 

D’autres contenus sont publics car rendus publics par une action positive de l’utilisateur, comme les publications, les photos et les vidéos, stories ou reels publiés. Les messages privés envoyés entre utilisateurs (Facebook, Instagram et WhatsApp) sont exclus du champ de collecte de l’IA, « à moins que vous ou des membres de la conversation décident de partager ces messages avec nos IA. Nous n’utilisons pas non plus d’informations publiques provenant de comptes de personnes en Union européenne âgées de moins de 18 ans, sauf si ces informations ont été partagées dans le cadre d’interactions avec l’IA de Meta. » Attention donc à ce que l’on partage avec l’agent conversationnel.

 

Un point plus sensible réside dans les tréfonds de la politique de confidentialité de Meta : « Même si vous n’utilisez pas nos Produits ou que vous n’avez pas de compte, il est possible que nous traitions quand même des informations à votre sujet pour développer et améliorer l’IA chez Meta ». Les contenus publiés par un utilisateur avec un compte public (photo, vidéo, reels, story, etc) faisant apparaître des utilisateurs avec un compte privé ou des personnes ne disposant pas de compte chez Meta pourraient donc être utilisés pour entraîner l’IA.

 

Concernant la suppression a posteriori d’une information publique, la politique de confidentialité précise : « Si vous supprimez une information utilisée pour l’apprentissage d’un modèle (comme une publication publique), le modèle ne changera pas immédiatement. Toutefois, l’information en elle-même étant désormais supprimée, elle ne sera plus utilisée pour l’entraînement des modèles. » Dès lors, des informations publiques au 27 mai 2025 et rendues privées a posteriori ne pourront plus être utilisées pour l’entrainement de l’IA. Cependant, rien n’exclut qu’elles n’ont pas été utilisées avant d’avoir été rendues privées.

 

Le choix délicat de l'intérêt légitime : une mise en balance à haut risque

 

En invoquant l’intérêt légitime (article 6 du RGPD) - aux fins de développer et d’améliorer une technologie fondée sur l’IA -, Meta choisit une voie pragmatique mais périlleuse. Si cette base juridique offre une certaine souplesse, elle implique une triple condition rigoureuse : légitimité, nécessité, et proportionnalité de l'atteinte portée aux droits et intérêts des personnes concernées. Chez Altij & Oratio Avocats, notre expertise nous conduit à souligner combien cette stratégie est risquée sans une analyse poussée et transparente.

 

En effet, l’utilisation systématique de données telles que les publications, les interactions ou encore les contenus impliquant indirectement des tiers – parfois mineurs – pose des questions délicates quant à l’équilibre exigé par le RGPD. La frontière entre intérêt légitime et intrusion disproportionnée dans la vie privée semble ténue, voire parfois invisible.

 

Comment exercer votre droit d’opposition ?

 

Meta a indiqué que les utilisateurs européens seront notifiés par courriel et/ou via l’application concernée de la possibilité de s’opposer à ce que leurs données personnelles soient utilisées pour l’entraînement de leurs systèmes d’IA. Un formulaire d’opposition a été mis à disposition (un pour Facebook, un pour Instagram et un pour les personnes n’utilisant pas les produits de Meta).

 

IA et RGPD : une tension croissante à anticiper

 

La politique de Meta illustre une tendance plus large où « la géopolitique de l'IA est un combat pour la suprématie mondiale, pas pour le bien commun », pour reprendre encore Tariq Krim. Cette situation met en lumière une tension profonde avec le RGPD, conçu pour redonner aux individus le contrôle effectif de leurs données.

 

Comme nous l'avions déjà souligné lors de notre dernier Café IA organisé avec Data Ring, les entreprises doivent impérativement anticiper ces points de friction. La démarche proactive est essentielle afin d’éviter des sanctions lourdes ou des dommages réputationnels irréversibles. La logique du « collecter d'abord, demander ensuite » n’est plus tenable, surtout quand elle implique des traitements aussi complexes et massifs que ceux envisagés par Meta.

 

Depuis février 2025, le Règlement Européen sur l’intelligence artificielle (RIA) prévoit une obligation de formation sur la maîtrise de l’IA. Face à ces exigences croissantes, Trust by Design propose trois sessions de formation le 23 mai, le 25 juin et le 3 juillet prochains (en présentiel et en distanciel)  « IA & RIA : les bases de la conformité ».

 

Lien vers l’article de la CNIL : https://cnil.fr/fr/meta-entrainement-ia-donnees-utilisateurs 

Lien vers la politique de confidentialité de Meta : https://www.facebook.com/privacy/policy/version/9168837699838785