Depuis le 27 mai 2025, Meta a commencé à entraîner ses modèles d’intelligence artificielle, dont Meta AI, à partir des données publiques des utilisateurs européens des réseaux sociaux Facebook, Instagram et Threads. Ce traitement s’effectue sans consentement préalable, mais avec la possibilité pour les utilisateurs de s’y opposer via un mécanisme d’opt-out.
Dans un communiqué, Meta justifie ce traitement de données personnelles par son intérêt légitime notamment de permettre aux modèles d’IA générative de « comprendre les nuances et les complexités incroyables et diverses qui composent les communautés européennes » et notamment les « façons distinctes dont les différents pays utilisent l’humour et le sarcasme sur nos produits ».
Cette annonce a conduit plusieurs organisations dont l’ONG NOYB à déposer des plaintes auprès de 11 autorités de protection des données personnelles, dont la DPC en Irlande. L’argument principal étant que Meta devrait mettre en place un opt-in pour recueillir le consentement des personnes et non un simple opt-out.
L’intérêt légitime peut-il, au regard du RGPD, suffire à justifier l’entraînement d’une IA avec des données personnelles, sans le consentement préalable ?
La question a fait l’objet d’un examen approfondi par le Comité européen de la protection des données (CEPD), dans un avis rendu le 17 décembre 2024. La CNIL a ensuite précisé cette position en actualisant sa fiche pratique relative à l’usage de la base légale de l’intérêt légitime pour les systèmes d’intelligence artificielle. L’ensemble de ces documents nous offre un cadre d’analyse utile pour mieux comprendre les conditions de licéité de tels traitements.
Avant de se fonder sur cette base légale pour entraîner une IA à partir de données personnelles, la CNIL et le CEPD recommandent une analyse en trois temps et de la documenter en interne.
La première étape consiste à identifier un intérêt légitime, c’est-à-dire un réel, licite, clairement défini et suffisamment concret. L’enjeu n’est pas ici d’invoquer une intention hypothétique, mais de démontrer un but précis, en lien avec l’activité de l’entreprise. Par exemple, développer une IA conversationnelle ou améliorer un service existant peuvent ainsi constituer des objectifs recevables. À l’inverse, vouloir entraîner une IA sur des finalités interdites (profilage de mineurs, surveillance automatisée, etc.) est incompatible d’emblée avec cette base légale de l’intérêt légitime.
La deuxième étape vise à apprécier la nécessité du traitement envisagé. Il ne suffit pas qu’un traitement soit utile : encore faut-il qu’il n’existe aucune alternative moins intrusive pour atteindre le même résultat. Cela suppose une vraie réflexion : est-il possible de limiter les données utilisées ? de se passer de données identifiantes ? de mobiliser des données synthétiques ou agrégées ? En matière d’IA, cette étape est souvent négligée, alors qu’elle est déterminante.
La troisième étape, enfin, est la plus délicate : il s’agit de procéder à une mise en balance entre l’intérêt poursuivi par le responsable de traitement et les droits et libertés des personnes concernées. C’est ici que les autorités de contrôle demandent de peser les risques en s’interrogeant notamment sur l’ampleur des données utilisées, la sensibilité des données, le nombre de personnes concernées, les risques d’atteinte à la vie privée, à la réputation, l’opacité du traitement, etc.
A savoir que plus le traitement présente un bénéfice collectif (ex. amélioration des soins, innovation utile), plus il peut être justifié. En revanche, si l’objectif du traitement est purement commercial, il sera nécessaire de prévoir des mesures de protection renforcées pour protéger les personnes concernées.
A cette étape, il est également nécessaire de s’interroger sur les aspects suivants:
Attention : Contrairement à ce que Meta affirme, l’avis du CEPD est général et ne confirme absolument pas que le raisonnement et l’approche de Meta est conforme au RGPD. Il est nécessaire de réellement appliquer le test à Méta.
1. Intérêt légitime identifié : Meta invoque un objectif clair : entraîner ses IA pour offrir des fonctionnalités de discussion adaptées aux spécificités culturelles et linguistiques européennes. Il s’agit bien d’un intérêt réel, licite et suffisamment déterminé.
2. Nécessité du traitement : La question se pose toutefois de savoir si des moyens moins intrusifs auraient pu être mobilisés. Selon NOYB, l’entraînement d’un modèle d’IA peut reposer sur des sources ouvertes accessibles en ligne, sans recourir aux données personnelles issues des réseaux sociaux. À ce stade, la démonstration de nécessité apparaît donc moins fondée.
3. Mise en balance des intérêts : C’est sans doute l’étape la plus délicate. Les risques pour les personnes concernées sont réels : atteinte à la vie privée, réputation, perte de contrôle sur leurs données. Les utilisateurs s’attendent-ils raisonnablement à ce que leurs publications — parfois éphémères ou privées — soient réutilisées à des fins d'entraînement d'IA ? Nous pouvons en douter, même si les profils sont « publics ».
Meta met en avant les garanties suivantes :
Cependant, plusieurs mesures complémentaires auraient pu renforcer la conformité et la transparence du traitement, tels que notamment :
Autant d’éléments qui montrent que, même si l’intérêt poursuivi par Meta est légitime, l’équilibre avec les droits des personnes reste fragile et pourrait être contesté.
NOYB a adressé à Meta le 17 mai une lettre de mise en demeure lui demandant l’arrêt immédiat de l’utilisation des données personnelles des utilisateurs européens pour l’entraînement de ses IA. NOYB dénonce un manque d’information et craint que les droits des utilisateurs soient compromis une fois les données intégrées aux modèles. Une action collective européenne est envisagée, avec des dommages potentiellement chiffrés en milliards d’euros.
Ce cas emblématique pourrait bien servir de matrice pour les futurs projets d’IA déployés à grande échelle. Il illustrera, dans les mois à venir, les lignes rouges à ne pas franchir et celles qui restent encore à tracer.
***
Pour en savoir plus sur les obligations liées au lancement d’un modèle d’intelligence artificielle et les exigences du RGPD, nous vous invitons à consulter notre article : « Les étapes clés pour mettre vos outils en conformité IA & RGPD », disponible sur notre blog.
L’équipe IT/Data du cabinet vous accompagne pour sécuriser vos pratiques et intégrer ces exigences dans vos projets. Contactez-nous dès aujourd’hui pour anticiper les évolutions réglementaires et mettre vos outils en conformité.
Clémentine Beaussier, avocate associée chez Squair