Don't be... non rien.

Google a mis en place sa Privacy Sandbox il y a un an, mécanisme annoncé depuis des années et censé permettre la collecte de données tout en préservant la vie privée des utilisateurs. Mais pour noyb, Google utilise un cas extrême de dark pattern en mentant à ses utilisateurs. L’association a porté plainte devant l’autorité autrichienne de protection des données.

Depuis juillet 2023, Google a ajouté à son navigateur Chrome un mécanisme censé améliorer la vie privée autour de la publicité ciblée. Le principe de cette fonctionnalité était annoncé de longue date par l’entreprise pour mettre fin aux cookies tiers.

L’idée n’est pas de supprimer le ciblage publicitaire, mais de remplacer le suivi individuel par un regroupement des utilisateurs par profils de navigation similaires avec l’utilisation par les développeurs des sites en question d’une API de chez Google.

• Chrome 115 signe le lancement de la Privacy Sandbox, qui débutera le 24 juillet

Accusation de mensonge

Mais noyb explique dans son communiqué qu’ « alors que le « Privacy Sandbox » est présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même ». Et l’association accuse l’entreprise de mentir dans la présentation de cette fonctionnalité dans son navigateur.

Dans sa plainte (.pdf), l’association considère que, « loin d’être un outil de « protection de la vie privée », le système derrière l’API Sandbox continue de suivre l’historique de navigation d’un utilisateur sur le web. La différence est que le navigateur Chrome lui-même suit le comportement des utilisateurs et génère une liste de « thèmes » publicitaires en fonction des sites web qu’ils visitent ».

« Cela ne reflète pas ce que les consommateurs considèrent généralement comme des « dispositifs de protection de la vie privée » (tels que les bloqueurs de cookies ou de suivi), qui visent à protéger totalement les utilisateurs plutôt qu’à les suivre à la trace par d’autres moyens installés localement et à partager des données avec les annonceurs » commente noyb.

L’association rajoute qu’« au lancement, il existait près de 500 catégories de publicités, telles que « Prêts étudiants et financement des études », « Sous-vêtements » ou « Parentalité », auxquelles les utilisateurs étaient associés en fonction de leur activité en ligne ».

noyb s’appuie notamment sur l’article 4(11) du RGPD qui définit le consentement de la personne concernée, comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Des darks patterns

L’association se plaint que Google utilise des dark patterns pour que les utilisateurs acceptent l’activation de la sandbox. Mais selon l’argumentaire de noyb, « il s’agit là d’un cas extrême : Google ne s’est pas contenté de modifier la couleur ou la taille d’un bouton, il a tout simplement menti à ses utilisateurs ».

Dans la plainte, noyb détaille que « plutôt que d’indiquer clairement qu’il demandait le consentement des utilisateurs pour que leur navigateur les suive, Google a vendu aux utilisateurs l’API Sandbox comme une « fonction de protection de la vie privée ». Il s’agit d’un choix délibéré visant à manipuler la compréhension des utilisateurs et à garantir un taux de consentement élevé, les utilisateurs pensant que leur navigateur les protège désormais contre le suivi à des fins publicitaires ».

L’association ajoute à sa plainte des copies d’écran de la version anglaise de ce formulaire :

Dans la version française affichée quand on a ouvert Chrome pour la première fois, le texte est encore moins clair puisqu’il parle d’ « annonces » et non de publicités.

L’entreprise a répondu à noyb que :

« Google demande le consentement des utilisateurs, conformément à l’article 6, paragraphe 1, point a), du RGPD, pour la création de rubriques publicitaires dans Chrome. Les utilisateurs peuvent donner ou refuser leur consentement en cliquant sur « Activer » ou « Non merci » … Le consentement concerne la création de sujets publicitaires dans le navigateur » »

Dans la seconde copie d’écran de l’association, on peut voir que l’utilisateur ne peut fermer le formulaire qu’en cliquant sur « Got it ».

Pour Google, « le deuxième écran informe les utilisateurs des nouveaux contrôles dans Chrome concernant deux autres API du Privacy Sandbox [« App-suggested ads » et « Ad Measurement »], qui permettent le reciblage et la mesure des publicités… Le bouton « Got it » sur le deuxième écran ferme simplement la boîte de dialogue, permettant à l’utilisateur d’accuser réception de l’avis ».

Pas encore de suppression des cookies tiers

L’association fait aussi remarquer dans le document déposé devant l’autorité autrichienne « qu’à ce jour, Google n’a pas supprimé les cookies tiers pour la plupart de ses utilisateurs, car l’autorité de marché britannique et l’autorité britannique chargée de la protection des données enquêtent sur ce changement de modèle commercial de Google en tant qu’infraction potentielle aux dispositions relatives à la protection des données et au droit de la concurrence ».

Perfide, noyb ajoute que « si l’API Sandbox a été conçue pour contrebalancer l’élimination du suivi par des tiers pour les utilisateurs de Chrome, il semble que Google ait été plus rapide à mettre en œuvre son propre outil de suivi qu’à supprimer les menaces existantes pour la vie privée des utilisateurs ».

Interrogée par Reuters, Google affirme que « cette plainte ne tient pas compte des importantes protections de la vie privée que nous avons intégrées dans les API de Privacy Sandbox, y compris l’API Topics, et de l’amélioration significative de la protection de la vie privée qu’elles apportent par rapport aux technologies actuelles, y compris les cookies de tiers ».

Le porte-parole a ajouté que « Privacy Sandbox est conçu pour améliorer la protection de la vie privée des utilisateurs et fournir à l’industrie des solutions de rechange au suivi intersite qui préservent la vie privée. Nous avons travaillé en étroite collaboration avec les autorités de régulation de la concurrence et de la protection de la vie privée dans le monde entier, et nous continuerons à le faire afin de parvenir à un résultat équilibré qui convienne aux utilisateurs et à l’ensemble de l’écosystème ».

Don't be... non rien.

Google a mis en place sa Privacy Sandbox il y a un an, mécanisme annoncé depuis des années et censé permettre la collecte de données tout en préservant la vie privée des utilisateurs. Mais pour noyb, Google utilise un cas extrême de dark pattern en mentant à ses utilisateurs. L’association a porté plainte devant l’autorité autrichienne de protection des données.

Depuis juillet 2023, Google a ajouté à son navigateur Chrome un mécanisme censé améliorer la vie privée autour de la publicité ciblée. Le principe de cette fonctionnalité était annoncé de longue date par l’entreprise pour mettre fin aux cookies tiers.

L’idée n’est pas de supprimer le ciblage publicitaire, mais de remplacer le suivi individuel par un regroupement des utilisateurs par profils de navigation similaires avec l’utilisation par les développeurs des sites en question d’une API de chez Google.

• Chrome 115 signe le lancement de la Privacy Sandbox, qui débutera le 24 juillet

Accusation de mensonge

Mais noyb explique dans son communiqué qu’ « alors que le « Privacy Sandbox » est présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même ». Et l’association accuse l’entreprise de mentir dans la présentation de cette fonctionnalité dans son navigateur.

Dans sa plainte (.pdf), l’association considère que, « loin d’être un outil de « protection de la vie privée », le système derrière l’API Sandbox continue de suivre l’historique de navigation d’un utilisateur sur le web. La différence est que le navigateur Chrome lui-même suit le comportement des utilisateurs et génère une liste de « thèmes » publicitaires en fonction des sites web qu’ils visitent ».

« Cela ne reflète pas ce que les consommateurs considèrent généralement comme des « dispositifs de protection de la vie privée » (tels que les bloqueurs de cookies ou de suivi), qui visent à protéger totalement les utilisateurs plutôt qu’à les suivre à la trace par d’autres moyens installés localement et à partager des données avec les annonceurs » commente noyb.

L’association rajoute qu’« au lancement, il existait près de 500 catégories de publicités, telles que « Prêts étudiants et financement des études », « Sous-vêtements » ou « Parentalité », auxquelles les utilisateurs étaient associés en fonction de leur activité en ligne ».

noyb s’appuie notamment sur l’article 4(11) du RGPD qui définit le consentement de la personne concernée, comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Des darks patterns

L’association se plaint que Google utilise des dark patterns pour que les utilisateurs acceptent l’activation de la sandbox. Mais selon l’argumentaire de noyb, « il s’agit là d’un cas extrême : Google ne s’est pas contenté de modifier la couleur ou la taille d’un bouton, il a tout simplement menti à ses utilisateurs ».

Dans la plainte, noyb détaille que « plutôt que d’indiquer clairement qu’il demandait le consentement des utilisateurs pour que leur navigateur les suive, Google a vendu aux utilisateurs l’API Sandbox comme une « fonction de protection de la vie privée ». Il s’agit d’un choix délibéré visant à manipuler la compréhension des utilisateurs et à garantir un taux de consentement élevé, les utilisateurs pensant que leur navigateur les protège désormais contre le suivi à des fins publicitaires ».

L’association ajoute à sa plainte des copies d’écran de la version anglaise de ce formulaire :

Dans la version française affichée quand on a ouvert Chrome pour la première fois, le texte est encore moins clair puisqu’il parle d’ « annonces » et non de publicités.

L’entreprise a répondu à noyb que :

« Google demande le consentement des utilisateurs, conformément à l’article 6, paragraphe 1, point a), du RGPD, pour la création de rubriques publicitaires dans Chrome. Les utilisateurs peuvent donner ou refuser leur consentement en cliquant sur « Activer » ou « Non merci » … Le consentement concerne la création de sujets publicitaires dans le navigateur » »

Dans la seconde copie d’écran de l’association, on peut voir que l’utilisateur ne peut fermer le formulaire qu’en cliquant sur « Got it ».

Pour Google, « le deuxième écran informe les utilisateurs des nouveaux contrôles dans Chrome concernant deux autres API du Privacy Sandbox [« App-suggested ads » et « Ad Measurement »], qui permettent le reciblage et la mesure des publicités… Le bouton « Got it » sur le deuxième écran ferme simplement la boîte de dialogue, permettant à l’utilisateur d’accuser réception de l’avis ».

Pas encore de suppression des cookies tiers

L’association fait aussi remarquer dans le document déposé devant l’autorité autrichienne « qu’à ce jour, Google n’a pas supprimé les cookies tiers pour la plupart de ses utilisateurs, car l’autorité de marché britannique et l’autorité britannique chargée de la protection des données enquêtent sur ce changement de modèle commercial de Google en tant qu’infraction potentielle aux dispositions relatives à la protection des données et au droit de la concurrence ».

Perfide, noyb ajoute que « si l’API Sandbox a été conçue pour contrebalancer l’élimination du suivi par des tiers pour les utilisateurs de Chrome, il semble que Google ait été plus rapide à mettre en œuvre son propre outil de suivi qu’à supprimer les menaces existantes pour la vie privée des utilisateurs ».

Interrogée par Reuters, Google affirme que « cette plainte ne tient pas compte des importantes protections de la vie privée que nous avons intégrées dans les API de Privacy Sandbox, y compris l’API Topics, et de l’amélioration significative de la protection de la vie privée qu’elles apportent par rapport aux technologies actuelles, y compris les cookies de tiers ».

Le porte-parole a ajouté que « Privacy Sandbox est conçu pour améliorer la protection de la vie privée des utilisateurs et fournir à l’industrie des solutions de rechange au suivi intersite qui préservent la vie privée. Nous avons travaillé en étroite collaboration avec les autorités de régulation de la concurrence et de la protection de la vie privée dans le monde entier, et nous continuerons à le faire afin de parvenir à un résultat équilibré qui convienne aux utilisateurs et à l’ensemble de l’écosystème ».

L’entreprise de Sam Altman a doublé son chiffre d’affaires (CA) annualisé – la moyenne du CA sur les derniers mois multiplié par 12 – pendant ces 6 derniers mois, selon The Information, relayé par Engadget. Sam Altman aurait communiqué cette information à ses salariés.

Fin 2023, le CA annualisé était de 1,6 milliard de dollars et serait donc passé à 3, 4 milliards. Il était de 1 milliard de dollars à l’été 2023.

Cette augmentation montre l’énorme adoption des outils d’OpenAI depuis la sortie de ChatGPT.

Engadget relève par contre que nous ne savons pas si OpenAI gagne réellement de l’argent jusqu’à présent.

Cette semaine, Apple a annoncé la création d’un partenariat avec OpenAI mais celui-ci ne se convertirait pas directement en chiffre d’affaires pour le créateur de ChatGPT, selon Bloomberg. En effet, « Apple estime que le fait d’intégrer la marque et la technologie d’OpenAI à des centaines de millions de ses appareils a une valeur égale ou supérieure à celle des paiements monétaires », explique le média tenant l’information de sources anonymes.

L’entreprise de Sam Altman a doublé son chiffre d’affaires (CA) annualisé – la moyenne du CA sur les derniers mois multiplié par 12 – pendant ces 6 derniers mois, selon The Information, relayé par Engadget. Sam Altman aurait communiqué cette information à ses salariés.

Fin 2023, le CA annualisé était de 1,6 milliard de dollars et serait donc passé à 3, 4 milliards. Il était de 1 milliard de dollars à l’été 2023.

Cette augmentation montre l’énorme adoption des outils d’OpenAI depuis la sortie de ChatGPT.

Engadget relève par contre que nous ne savons pas si OpenAI gagne réellement de l’argent jusqu’à présent.

Cette semaine, Apple a annoncé la création d’un partenariat avec OpenAI mais celui-ci ne se convertirait pas directement en chiffre d’affaires pour le créateur de ChatGPT, selon Bloomberg. En effet, « Apple estime que le fait d’intégrer la marque et la technologie d’OpenAI à des centaines de millions de ses appareils a une valeur égale ou supérieure à celle des paiements monétaires », explique le média tenant l’information de sources anonymes.

Comme un Mammouth sans aile

D’après des chercheurs de l’université de Pennsylvanie, la migration de Twitter vers Mastodon tant attendue par les thuriféraires du pachyderme n’a pas vraiment eu lieu dans le milieu de la recherche scientifique. Au contraire, les deux tiers des chercheurs étudiés ayant eu la curiosité d’y mettre les pieds ont vite abandonné le réseau décentralisé.

Il y a un peu plus d’un an, certains chercheurs excédés par le rachat de Twitter par Elon Musk, par ses positions politiques et ses décisions erratiques sur le fonctionnement de son nouveau réseau social espéraient pousser leurs collègues vers le réseau social décentralisé Mastodon (basé sur le Fediverse).

« L’échec de la migration du Twitter académique »

Certains y ont pointé leur nez dès ce rachat, mais ont-ils persévéré en troquant les « tweets » du désormais X d’Elon Musk contre les « pouets » de Mastodon ? « Dans quelle mesure les universitaires ont-ils participé à la migration de Twitter vers Mastodon, et comment peut-on évaluer le succès ou l’échec de cette migration ? » se sont demandé Xinyu Wang, Sai Koneru et Sarah Rajtmajer, chercheurs à l’Université de Pennsylvanie dans un article mis en ligne sur la plateforme de prépublications scientifiques arXiv sous le titre explicite : « L’échec de la migration du Twitter académique ».

• Mastodon refuge pour communiquer librement sur la recherche ?

Cet article n’étudie pas la qualité des échanges entre chercheurs ainsi qu’avec le grand public sur les deux réseaux. Mais dans leurs conclusions, ils expliquent qu’ « alors que la plateforme décentralisée offrait une alternative prometteuse, les communautés établies et l’engagement clair du public sur Twitter se sont avérés trop importants pour être surmontés ».

Deux tiers sont inactifs

Alors que ce procès devait se tenir ce mercredi à San Francisco, Elon Musk a décidé mardi 11 juin d’abandonner les poursuites qu’il avait déclenchées contre OpenAI et les deux autres co-fondateurs de l’entreprise, Sam Altman, Greg Brockman, explique CNBC.

En février, Elon Musk avait déposé une plainte les accusant d’avoir violé l’engagement pris à la création d’OpenAI, à laquelle il a participé, selon lequel elle resterait une organisation à but non lucratif et garderait un esprit d’ « ouverture » des technologies.

The Verge expliquait en mars dernier que le cas était « malicieusement hilarant » :

« Musk prétend carrément qu’OpenAI a rompu un contrat qui n’existe pas. Ce contrat n’existe tout simplement pas ! La plainte fait référence à un « accord de fondation », mais aucun accord de ce type n’est joint en tant que pièce à conviction, et l’allégation de rupture de contrat admet que l' »accord de fondation » est essentiellement une atmosphère que tout le monde a partagée dans quelques emails ».

L’entreprise avait aussi affirmé qu’il n’y avait « aucun accord de fondation, ou aucun autre accord avec Elon Musk ».

Alors que ce procès devait se tenir ce mercredi à San Francisco, Elon Musk a décidé mardi 11 juin d’abandonner les poursuites qu’il avait déclenchées contre OpenAI et les deux autres co-fondateurs de l’entreprise, Sam Altman, Greg Brockman, explique CNBC.

En février, Elon Musk avait déposé une plainte les accusant d’avoir violé l’engagement pris à la création d’OpenAI, à laquelle il a participé, selon lequel elle resterait une organisation à but non lucratif et garderait un esprit d’ « ouverture » des technologies.

The Verge expliquait en mars dernier que le cas était « malicieusement hilarant » :

« Musk prétend carrément qu’OpenAI a rompu un contrat qui n’existe pas. Ce contrat n’existe tout simplement pas ! La plainte fait référence à un « accord de fondation », mais aucun accord de ce type n’est joint en tant que pièce à conviction, et l’allégation de rupture de contrat admet que l' »accord de fondation » est essentiellement une atmosphère que tout le monde a partagée dans quelques emails ».

L’entreprise avait aussi affirmé qu’il n’y avait « aucun accord de fondation, ou aucun autre accord avec Elon Musk ».

IA pas de consentement

Human Right Watch a analysé une partie de la base de données LAION-5B très utilisée pour entrainer des outils d’IA générateurs d’images et s’est rendu compte qu’elle contiendrait des liens vers des photos d’enfants brésiliens sans leur consentement.

L’ONG Human right watch explique avoir repéré des photos personnelles d’enfants brésiliens dans la base de données LAION-5B. Créée par le professeur de lycée allemand Christoph Schuhmann, celle-ci a été notamment utilisée par Stable Diffusion et par Google pour entrainer leurs modèles d’IA génératives de text-to-image.

• Comment LAION a créé un jeu d’images d’entraînement à partir de zéro

Une toute petite partie de la base de données explorée

Ces photos ne figurent pas en tant que telles dans la base de données. LAION-5B liste notamment des liens vers diverses photos qui ont été mises en ligne qu’elle associe à du texte. Elle s’appuie sur l’autre base de données Common Crawl qui parcourt internet et stocke les contenus trouvés.

La chercheuse de l’ONG, Hye Jung Han, a examiné une toute petite partie de LAION-5B (moins de 0,0001 % des 5,85 milliards d’images) mais a trouvé 170 photos d’enfants brésiliens venant d’au moins 10 États du pays.

Des photos de moments intimes

La plupart de ces photos n’ont été vues que par très peu de personne et « semblent avoir bénéficié auparavant d’une certaine intimité » explique Human Rights Watch, qui a vérifié en utilisant des moteurs de recherche.

L’ONG affirme que LAION, l’association allemande fondée par Schuhmann pour gérer la base de données, a confirmé l’existence des liens vers ces photos dans sa base de données et a promis de les supprimer. Mais elle a ajouté qu’il incombait aux enfants et à leurs tuteurs de retirer les photos personnelles des enfants de l’internet, ce qui, selon elle, constitue la protection la plus efficace contre les abus.

• Intelligence artificielle : la CNIL veut (re)concilier « innovation et respect des droits »

Dans une réponse à Wired, LAION a affirmé avoir supprimé les liens vers les contenus signalés par Human Right Watch. Mais un de ses représentants a ajouté que « la suppression des liens d’un ensemble de données LAION ne supprime pas ce contenu du web […] il s’agit d’un problème plus vaste et très préoccupant, et en tant qu’organisation bénévole à but non lucratif, nous ferons notre part pour y remédier ».

Selon l’association, les photos listées par LAION représentaient « des moments intimes comme des bébés naissant entre les mains gantées de médecins, des jeunes enfants soufflant les bougies de leur gâteau d’anniversaire ou dansant en sous-vêtements à la maison, d’élèves faisant un exposé à l’école et d’adolescents posant pour des photos à carnaval du lycée ».

Hye Jung Han explique à Wired que « leur vie privée est violée en premier lieu lorsque leur photo est récupérée et intégrée dans ces ensembles de données. Ensuite, ces outils d’intelligence artificielle sont entrainés à partir de ces données et peuvent donc créer des images réalistes d’enfants ». Elle ajoute que « la technologie est développée de telle sorte que tout enfant qui possède une photo ou une vidéo de lui en ligne est désormais en danger, car n’importe quel acteur malveillant pourrait prendre cette photo, puis utiliser ces outils pour la manipuler à sa guise ».

LAION-5B plus accessible publiquement

Depuis décembre dernier, LAION-5B n’est plus accessible publiquement. L’association a pris cette décision car des chercheurs de Stanford ont identifié 3 226 liens vers des images pédocriminelles potentielles. « La plupart d’entre elles ont été identifiées comme telles par des tierces parties » expliquaient-ils.

Dans un communiqué sur son site, LAION affirmait qu’elle appliquait «  une politique de tolérance zéro à l’égard des contenus illégaux et, dans un souci de prudence, nous retirons temporairement les jeux de données de LAION pour nous assurer qu’ils sont sûrs avant de les republier ».

IA pas de consentement

Human Right Watch a analysé une partie de la base de données LAION-5B très utilisée pour entrainer des outils d’IA générateurs d’images et s’est rendu compte qu’elle contiendrait des liens vers des photos d’enfants brésiliens sans leur consentement.

L’ONG Human right watch explique avoir repéré des photos personnelles d’enfants brésiliens dans la base de données LAION-5B. Créée par le professeur de lycée allemand Christoph Schuhmann, celle-ci a été notamment utilisée par Stable Diffusion et par Google pour entrainer leurs modèles d’IA génératives de text-to-image.

• Comment LAION a créé un jeu d’images d’entraînement à partir de zéro

Une toute petite partie de la base de données explorée

Ces photos ne figurent pas en tant que telles dans la base de données. LAION-5B liste notamment des liens vers diverses photos qui ont été mises en ligne qu’elle associe à du texte. Elle s’appuie sur l’autre base de données Common Crawl qui parcourt internet et stocke les contenus trouvés.

La chercheuse de l’ONG, Hye Jung Han, a examiné une toute petite partie de LAION-5B (moins de 0,0001 % des 5,85 milliards d’images) mais a trouvé 170 photos d’enfants brésiliens venant d’au moins 10 États du pays.

Des photos de moments intimes

La plupart de ces photos n’ont été vues que par très peu de personne et « semblent avoir bénéficié auparavant d’une certaine intimité » explique Human Rights Watch, qui a vérifié en utilisant des moteurs de recherche.

L’ONG affirme que LAION, l’association allemande fondée par Schuhmann pour gérer la base de données, a confirmé l’existence des liens vers ces photos dans sa base de données et a promis de les supprimer. Mais elle a ajouté qu’il incombait aux enfants et à leurs tuteurs de retirer les photos personnelles des enfants de l’internet, ce qui, selon elle, constitue la protection la plus efficace contre les abus.

• Intelligence artificielle : la CNIL veut (re)concilier « innovation et respect des droits »

Dans une réponse à Wired, LAION a affirmé avoir supprimé les liens vers les contenus signalés par Human Right Watch. Mais un de ses représentants a ajouté que « la suppression des liens d’un ensemble de données LAION ne supprime pas ce contenu du web […] il s’agit d’un problème plus vaste et très préoccupant, et en tant qu’organisation bénévole à but non lucratif, nous ferons notre part pour y remédier ».

Selon l’association, les photos listées par LAION représentaient « des moments intimes comme des bébés naissant entre les mains gantées de médecins, des jeunes enfants soufflant les bougies de leur gâteau d’anniversaire ou dansant en sous-vêtements à la maison, d’élèves faisant un exposé à l’école et d’adolescents posant pour des photos à carnaval du lycée ».

Hye Jung Han explique à Wired que « leur vie privée est violée en premier lieu lorsque leur photo est récupérée et intégrée dans ces ensembles de données. Ensuite, ces outils d’intelligence artificielle sont entrainés à partir de ces données et peuvent donc créer des images réalistes d’enfants ». Elle ajoute que « la technologie est développée de telle sorte que tout enfant qui possède une photo ou une vidéo de lui en ligne est désormais en danger, car n’importe quel acteur malveillant pourrait prendre cette photo, puis utiliser ces outils pour la manipuler à sa guise ».

LAION-5B plus accessible publiquement

Depuis décembre dernier, LAION-5B n’est plus accessible publiquement. L’association a pris cette décision car des chercheurs de Stanford ont identifié 3 226 liens vers des images pédocriminelles potentielles. « La plupart d’entre elles ont été identifiées comme telles par des tierces parties » expliquaient-ils.

Dans un communiqué sur son site, LAION affirmait qu’elle appliquait «  une politique de tolérance zéro à l’égard des contenus illégaux et, dans un souci de prudence, nous retirons temporairement les jeux de données de LAION pour nous assurer qu’ils sont sûrs avant de les republier ».

Le conseil d’administration de Tesla s’est prononcé et a validé jeudi 13 juin un plan de rémunération d’une hauteur de 56 milliards de dollars pour Elon Musk, explique Reuters. Ils ont aussi permis le déménagement du siège de l’entreprise du Delaware vers le Texas.

Pourtant, d’importants actionnaires, comme le fonds souverain de la Norvège, s’étaient prononcés contre.

Elon Musk tenait à sa rémunération de 56 milliards de dollars en tant que CEO de Tesla. Fin janvier, celui-ci a vu cette rémunération remise en question par la justice du Delaware qui a donné raison (pdf de la décision) à un actionnaire qui demandait l’annulation du plan décidé en 2018.

En conséquence, Elon Musk a demandé à son conseil de voter de nouveau une rémunération du même montant ainsi que le déménagement du siège de Tesla. Selon The Verge, il aurait envoyé une lettre aux actionnaires « lourde de sous-entendus » sur le fait qu’il pourrait quitter Tesla si cette rémunération n’était pas acceptée.

Si Ron Baron, un des actionnaires importants de l’entreprise, s’est prononcé en sa faveur, d’autres, comme le fonds souverain de Norvège, mais aussi Christopher Ailman, responsable du fonds de pensions des enseignants de l’État de Californie, s’y opposaient.

Le fonds souverain de Norvège, le plus important au monde avec près de 1 500 milliards d’euros de capitaux et 0,98 % des actions (et donc des voix) de Tesla, s’est aussi prononcé pour l’adoption d’une politique de liberté d’association et de négociation collective dans l’entreprise, « une victoire pour les syndicats qui cherchent à affirmer leur influence sur le constructeur automobile américain », juge CNBC.

Le conseil d’administration de Tesla s’est prononcé et a validé jeudi 13 juin un plan de rémunération d’une hauteur de 56 milliards de dollars pour Elon Musk, explique Reuters. Ils ont aussi permis le déménagement du siège de l’entreprise du Delaware vers le Texas.

Pourtant, d’importants actionnaires, comme le fonds souverain de la Norvège, s’étaient prononcés contre.

Elon Musk tenait à sa rémunération de 56 milliards de dollars en tant que CEO de Tesla. Fin janvier, celui-ci a vu cette rémunération remise en question par la justice du Delaware qui a donné raison (pdf de la décision) à un actionnaire qui demandait l’annulation du plan décidé en 2018.

En conséquence, Elon Musk a demandé à son conseil de voter de nouveau une rémunération du même montant ainsi que le déménagement du siège de Tesla. Selon The Verge, il aurait envoyé une lettre aux actionnaires « lourde de sous-entendus » sur le fait qu’il pourrait quitter Tesla si cette rémunération n’était pas acceptée.

Si Ron Baron, un des actionnaires importants de l’entreprise, s’est prononcé en sa faveur, d’autres, comme le fonds souverain de Norvège, mais aussi Christopher Ailman, responsable du fonds de pensions des enseignants de l’État de Californie, s’y opposaient.

Le fonds souverain de Norvège, le plus important au monde avec près de 1 500 milliards d’euros de capitaux et 0,98 % des actions (et donc des voix) de Tesla, s’est aussi prononcé pour l’adoption d’une politique de liberté d’association et de négociation collective dans l’entreprise, « une victoire pour les syndicats qui cherchent à affirmer leur influence sur le constructeur automobile américain », juge CNBC.

Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Mise à jour le 13 juin à 8h50 : ajout de la promesse d’Adobe de modifier ses conditions d’utilisation.

Article publié initialement le 10 juin à 17h48 :

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donnait la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ses outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image avec un simple prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Mais pour tout ça, il faut bien entrainer les IA avec une base de données massives. Et quoi de plus simple et de plus efficace que d'utiliser les données directement disponibles sur le Cloud d'Adobe ? Des utilisateurs suspicieux ont donc eu peur que la modification des conditions d'utilisation intervenue en février dernier le permette à l'entreprise, et ils ont été relayés par plusieurs médias comme The Register ou Venture Beat. D'autant que le texte modifié en anglais n'est pas des plus clairs : « nous pouvons accéder, visualiser ou écouter votre contenu (défini dans la section 4.1 (Contenu) ci-dessous) par des méthodes automatisées et manuelles, mais uniquement de manière limitée et dans les limites autorisées par la loi » explique-t-il. Et dans la même sous-section, Adobe ajoute « nos systèmes automatisés peuvent analyser votre Contenu et les Polices Client Creative Cloud (définies dans la section 3.10 (Polices Client Creative Cloud) ci-dessous) à l'aide de techniques telles que le machine learning afin d'améliorer nos Services et nos Logiciels ainsi que l'expérience utilisateur. Des informations sur la manière dont Adobe utilise l'apprentissage automatique sont disponibles ici ». La mention du machine learning dans la section de l'accès aux contenus des utilisateurs peut effectivement faire penser qu'Adobe se donne la permission d'utiliser les images créées par ses utilisateurs pour entrainer ses IA. Mais la section 4.1 à laquelle fait référence le texte modifié plus haut évoque plutôt le fait de vérifier que les contenus respectent bien les conditions d'utilisation justement :

« Nous ne révisons pas l’ensemble du Contenu chargé sur les Services et dans les Logiciels, mais nous pouvons utiliser des technologies, des fournisseurs, ou des processus disponibles, y compris manuellement, pour filtrer certains types de contenus non autorisés (pédosexuels, par exemple) ou tout autre contenu ou comportement délictueux (des activités révélant un pourriel ou un hameçonnage, ou des mots-clés indiquant que du contenu réservé aux adultes a été publié en dehors du mur de protection contre le contenu pour adultes) ».

Clarifions

Adobe a dû publier un billet de blog pour « clarifier » sa « clarification » de ses conditions d'utilisation : « pour être clair, Adobe exige une licence limitée pour accéder au contenu uniquement dans le but d'exploiter ou d'améliorer les services et les logiciels et pour faire respecter nos conditions et se conformer à la loi, par exemple pour se protéger contre les contenus abusifs ». L'entreprise ajoute qu' « Adobe n'entraine pas les modèles d'IA Firefly Gen sur le contenu des clients » et qu'elle « ne s'appropriera jamais le travail d'un client ». Elle publie aussi la différence entre les anciennes et nouvelles conditions d'utilisation pour montrer sa bonne foi, que l'on peut aller vérifier via la fonction diff proposée par archive.org :

Il serait pertinent qu'au-delà de ce billet, Adobe change ses conditions d'utilisation pour ajouter ce genre de phrases et rassurer ses utilisateurs. C'est d'ailleurs ce qu'a promis de faire l'entreprise dans un billet de blog paru peu de temps après une première version de cet article : « Au cours des prochains jours, nous nous adresserons à nos clients pour leur proposer un plan de mise à jour d'ici le 18 juin 2024. Chez Adobe, il n'y a aucune ambiguïté dans notre position, notre engagement envers nos clients et notre volonté d'innover de manière responsable dans ce domaine. Nous n'avons jamais entrainé d'IA générative sur le contenu d'un client, ni pris possession du travail d'un client, ni autorisé l'accès au contenu d'un client au-delà des exigences légales. Nous n'avons d'ailleurs envisagé aucune de ces pratiques dans le cadre de la récente mise à jour des conditions d'utilisation. Cela dit, nous convenons que l'évolution de nos conditions d'utilisation pour refléter nos engagements envers notre communauté est la bonne chose à faire ». Cela dit, dans la version française de ces conditions d'utilisation, Adobe utilise une tournure un peu plus claire : « nous ne pourrons accéder à votre Contenu (défini à l’article 4.1 (Contenu) ci-dessous), le regarder ou l’écouter par le biais de processus automatisés et manuels que de manière restreinte et uniquement dans les limites autorisées par la loi ».

Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Mise à jour le 13 juin à 8h50 : ajout de la promesse d’Adobe de modifier ses conditions d’utilisation.

Article publié initialement le 10 juin à 17h48 :

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donnait la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ses outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image avec un simple prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Mais pour tout ça, il faut bien entrainer les IA avec une base de données massives. Et quoi de plus simple et de plus efficace que d'utiliser les données directement disponibles sur le Cloud d'Adobe ? Des utilisateurs suspicieux ont donc eu peur que la modification des conditions d'utilisation intervenue en février dernier le permette à l'entreprise, et ils ont été relayés par plusieurs médias comme The Register ou Venture Beat. D'autant que le texte modifié en anglais n'est pas des plus clairs : « nous pouvons accéder, visualiser ou écouter votre contenu (défini dans la section 4.1 (Contenu) ci-dessous) par des méthodes automatisées et manuelles, mais uniquement de manière limitée et dans les limites autorisées par la loi » explique-t-il. Et dans la même sous-section, Adobe ajoute « nos systèmes automatisés peuvent analyser votre Contenu et les Polices Client Creative Cloud (définies dans la section 3.10 (Polices Client Creative Cloud) ci-dessous) à l'aide de techniques telles que le machine learning afin d'améliorer nos Services et nos Logiciels ainsi que l'expérience utilisateur. Des informations sur la manière dont Adobe utilise l'apprentissage automatique sont disponibles ici ». La mention du machine learning dans la section de l'accès aux contenus des utilisateurs peut effectivement faire penser qu'Adobe se donne la permission d'utiliser les images créées par ses utilisateurs pour entrainer ses IA. Mais la section 4.1 à laquelle fait référence le texte modifié plus haut évoque plutôt le fait de vérifier que les contenus respectent bien les conditions d'utilisation justement :

« Nous ne révisons pas l’ensemble du Contenu chargé sur les Services et dans les Logiciels, mais nous pouvons utiliser des technologies, des fournisseurs, ou des processus disponibles, y compris manuellement, pour filtrer certains types de contenus non autorisés (pédosexuels, par exemple) ou tout autre contenu ou comportement délictueux (des activités révélant un pourriel ou un hameçonnage, ou des mots-clés indiquant que du contenu réservé aux adultes a été publié en dehors du mur de protection contre le contenu pour adultes) ».

Clarifions

Adobe a dû publier un billet de blog pour « clarifier » sa « clarification » de ses conditions d'utilisation : « pour être clair, Adobe exige une licence limitée pour accéder au contenu uniquement dans le but d'exploiter ou d'améliorer les services et les logiciels et pour faire respecter nos conditions et se conformer à la loi, par exemple pour se protéger contre les contenus abusifs ». L'entreprise ajoute qu' « Adobe n'entraine pas les modèles d'IA Firefly Gen sur le contenu des clients » et qu'elle « ne s'appropriera jamais le travail d'un client ». Elle publie aussi la différence entre les anciennes et nouvelles conditions d'utilisation pour montrer sa bonne foi, que l'on peut aller vérifier via la fonction diff proposée par archive.org :

Il serait pertinent qu'au-delà de ce billet, Adobe change ses conditions d'utilisation pour ajouter ce genre de phrases et rassurer ses utilisateurs. C'est d'ailleurs ce qu'a promis de faire l'entreprise dans un billet de blog paru peu de temps après une première version de cet article : « Au cours des prochains jours, nous nous adresserons à nos clients pour leur proposer un plan de mise à jour d'ici le 18 juin 2024. Chez Adobe, il n'y a aucune ambiguïté dans notre position, notre engagement envers nos clients et notre volonté d'innover de manière responsable dans ce domaine. Nous n'avons jamais entrainé d'IA générative sur le contenu d'un client, ni pris possession du travail d'un client, ni autorisé l'accès au contenu d'un client au-delà des exigences légales. Nous n'avons d'ailleurs envisagé aucune de ces pratiques dans le cadre de la récente mise à jour des conditions d'utilisation. Cela dit, nous convenons que l'évolution de nos conditions d'utilisation pour refléter nos engagements envers notre communauté est la bonne chose à faire ». Cela dit, dans la version française de ces conditions d'utilisation, Adobe utilise une tournure un peu plus claire : « nous ne pourrons accéder à votre Contenu (défini à l’article 4.1 (Contenu) ci-dessous), le regarder ou l’écouter par le biais de processus automatisés et manuels que de manière restreinte et uniquement dans les limites autorisées par la loi ».

IA ouvre toi !

Dans l’IA générative comme dans d’autres domaines du numérique, le mot « open » peut attirer avec ses promesses de transparence, de traçabilité, de sécurité ou de réutilisation possible. S’il est beaucoup utilisé de façon marketing, le nouvel AI Act européen prévoit des exemptions pour les modèles « ouverts ». Des chercheurs néerlandais ont classé 40 modèles de génération de textes et six modèles de génération d’images se prétendant « open » par degré d’ouverture réelle.

Dans un article (.pdf) présenté à la conférence scientifique FAccT 2024 cette semaine, deux chercheurs de l’université néerlandaise de Radboud se sont penchés sur les degrés d’ouverture des modèles d’IA génératives présentés comme « open » par leurs créateurs. Le moins que l’on puisse dire est que la notion d’ouverture n’est pas la même pour tout le monde.

Comme nous l’évoquions en septembre dernier, le mot « open » dans le milieu de l’IA générative est souvent utilisé de manière marketing et il est difficile de s’y retrouver. On voit, de fait, une tendance à ce que certains appellent de l’ « open washing » : utiliser le terme un peu partout pour qualifier des modèles qui sont parfois très peu ouverts.

À l’époque, le sociologue David Gray Widder et les deux chercheuses Sarah Myers West et Meredith Whittaker expliquaient que « certains systèmes décrits comme « ouverts » ne fournissent guère plus qu’une API et une licence autorisant la réutilisation, comprenant la commercialisation de la technologie ».

• Le marketing de l’IA « ouverte »

L’ « open » prend du poids avec l’AI Act

Selon le New York Times, le gouvernement américain et la Federal Trade Commission (FTC) se sont coordonnés pour lancer plusieurs enquêtes sur d’éventuelles pratiques anticoncurrentielles dans le milieu de l’IA.

Le ministère de la Justice Américain va se concentrer sur les comportements du concepteur de GPU NVIDIA et vérifier qu’il n’a pas violé les lois antitrust américaines.

De son côté, la FTC va analyser la conduite d’OpenAI et de Microsoft et notamment l’investissement de 13 milliards de dollars du second dans le premier.

« Pendant des mois, Nvidia, Microsoft et OpenAI ont largement échappé à la surveillance réglementaire du gouvernement de Biden », commente le journal américain.

L’agence indépendante avait déjà lancé des enquêtes en juillet 2023 et en janvier 2024 sur OpenAI et plus globalement sur les liens entre les grandes entreprises du numérique et les nouvelles startups de l’IA.

Le New York Times cite une interview de Lina Khan, présidente de la FTC, réalisée en février dernier. Elle y déclarait à propos de la régulation de l’IA que l’agence essayait de repérer « les problèmes potentiels dès le début plutôt que des années et des années plus tard, lorsque les problèmes sont profondément ancrés et beaucoup plus difficiles à rectifier ».

Le journal remarque cependant que « les États-Unis sont en retard sur l’Europe en matière de réglementation de l’intelligence artificielle ».

Selon le New York Times, le gouvernement américain et la Federal Trade Commission (FTC) se sont coordonnés pour lancer plusieurs enquêtes sur d’éventuelles pratiques anticoncurrentielles dans le milieu de l’IA.

Le ministère de la Justice Américain va se concentrer sur les comportements du concepteur de GPU NVIDIA et vérifier qu’il n’a pas violé les lois antitrust américaines.

De son côté, la FTC va analyser la conduite d’OpenAI et de Microsoft et notamment l’investissement de 13 milliards de dollars du second dans le premier.

« Pendant des mois, Nvidia, Microsoft et OpenAI ont largement échappé à la surveillance réglementaire du gouvernement de Biden », commente le journal américain.

L’agence indépendante avait déjà lancé des enquêtes en juillet 2023 et en janvier 2024 sur OpenAI et plus globalement sur les liens entre les grandes entreprises du numérique et les nouvelles startups de l’IA.

Le New York Times cite une interview de Lina Khan, présidente de la FTC, réalisée en février dernier. Elle y déclarait à propos de la régulation de l’IA que l’agence essayait de repérer « les problèmes potentiels dès le début plutôt que des années et des années plus tard, lorsque les problèmes sont profondément ancrés et beaucoup plus difficiles à rectifier ».

Le journal remarque cependant que « les États-Unis sont en retard sur l’Europe en matière de réglementation de l’intelligence artificielle ».

Schrems vs Meta, a neverending story

L’association autrichienne noyb a déposé 11 plaintes contre Meta auprès d’autant d’autorités chargées de la protection des données en Europe, dont la CNIL. Elle demande à la multinationale d’arrêter immédiatement l’utilisation abusive des données personnelles des utilisateurs de Facebook et Instagram pour l’entrainement de ses IA tel que le prévoit sa nouvelle « Politique de confidentialité ».

Mise à jour du 14 juin 17h05 : L’autorité de protection des données irlandaise, la DPC, annonce que Meta suspend son projet d’entrainement de ses grands modèles de langage avec les contenus partagés par les utilisateurs de ses réseaux sociaux Instagram et Facebook dans l’Union européenne et l’espace économique européen soumis au RGPD. La DPC s’en félicite tout en expliquant que le dialogue sur la question n’est pas fini. Max Schrems a exprimé sa joie sur X :

Woohoo @NOYBeu at work! https://t.co/AKRW4RRBFT

— Max Schrems (@maxschrems) June 14, 2024

Article initialement publié le 6 juin à 15h :

L’association de Max Schrems a annoncé avoir déposé 11 plaintes en Europe (en Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) contre la nouvelle politique de confidentialité de Facebook et Instagram mise en place par Meta, concernant l’utilisation de toutes les données des utilisateurs pour entrainer les IA de la multinationale.

Depuis fin mai, les utilisateurs européens de ces réseaux sociaux ont reçu un email dont le sujet est « nous mettons à jour notre Politique de confidentialité à mesure que nous développons l’IA de Meta ». Ce message indique qu’à partir du 26 juin 2024, l’entreprise s’appuiera désormais sur la base légale des « intérêts légitimes » de Meta pour utiliser les informations de ses utilisateurs « pour développer et améliorer l’IA de Meta ».

Cette décision de Meta a fait réagir certains utilisateurs de ses réseaux sociaux où on a pu voir des chaînes de protestation se mettre en place :

Un formulaire dissuasif

Plus clairement, l’entreprise s’autorise à partir de cette date à utiliser les données (contenus publiés mais aussi données personnelles) de ses utilisateurs collectées depuis la création de leurs comptes pour entrainer ses intelligences artificielles. Un seul moyen d’y échapper : cliquer sur le lien situé au milieu du message expliquant que « cela signifie que vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins » et remplir le formulaire auquel il renvoie.

Et encore, Meta y demande d’ « expliquer l’incidence de ce traitement sur vous » et suggère donc qu’elle pourrait refuser d’accéder à la demande. « Alors qu’en théorie, l’opt-out pourrait être mis en œuvre de telle sorte qu’il ne nécessite qu’un seul clic (comme le bouton « se désinscrire » dans les newsletters), Meta rend extrêmement compliqué le fait de s’y opposer, même pour des raisons personnelles », s’indigne noyb dans son communiqué.

L’association estime aussi que « bien que le choix logique soit celui d’un consentement explicite (opt-in), Meta prétend à nouveau qu’elle a un « intérêt légitime » qui l’emporte sur les droits fondamentaux des utilisateurs ».

noyb rappelle que l’entreprise a déjà voulu s’appuyer sur son « intérêt légitime » pour utiliser les données personnelles de ses utilisateurs pour mettre en place son système de publicités ciblées, mais que la Cour de justice de l’Union européenne a rejeté l’utilisation de cette base légale.

Meta utilise aussi une phrase très vague et très générale pour signaler ce qu’elle s’autorise à faire : « l’IA chez Meta est notre collection de fonctionnalités et d’expériences d’IA générative, comme les outils de création IA et Meta AI, ainsi que les modèles qui les alimentent ». Telle que nous la comprenons, l’entreprise s’autorise à utiliser ces données pour entrainer toutes ses IA.

Dans ses plaintes, noyb accuse Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir », et de ne pas avoir donné les informations nécessaires à ses utilisateurs.

Aucun intérêt légitime

Elle y estime tout bonnement que Meta « n’a aucun « intérêt légitime » qui prévaut sur les intérêts » des plaignants qu’elle accompagne et « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ».

Elle pointe le fait que l’entreprise « tente en réalité d’obtenir l’autorisation de traiter des données à caractère personnel pour des moyens techniques larges et non définis (« technologie d’intelligence artificielle ») sans jamais préciser la finalité du traitement en vertu de l’Article 5(1)(b) du RGPD ».

Données mises à la disposition de n’importe quel « tiers »

Elle ajoute que l’entreprise n’est même pas « en mesure de différencier correctement entre les personnes concernées pour lesquelles elle peut s’appuyer sur une base légale pour traiter les données à caractère personnel et les autres personnes concernées pour lesquelles une telle base légale n’existe pas ». De même, elle lui reproche de ne pas être capable de faire la différence « entre les données à caractère personnel qui relèvent de l’Article 9 du RGPD [qui pose une interdiction de principe des traitements relatifs à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l’appartenance syndicale, ndlr] et les autres données qui n’en relèvent pas ».

Enfin, l’association pointe le fait que « Meta déclare elle-même que le traitement des données à caractère personnel est irréversible et qu’elle n’est pas en mesure de respecter le « droit à l’oubli » ».

Pour Max Schrems, « Meta dit en substance qu’elle peut utiliser « n’importe quelle donnée provenant de n’importe quelle source pour n’importe quel usage et la mettre à la disposition de n’importe qui dans le monde », à condition que ce soit par le biais d’une « technologie d’intelligence artificielle ». Cela est clairement non conforme au RGPD. L’expression « technologie d’IA » est extrêmement large. Tout comme « l’utilisation de vos données dans des bases de données », il n’y a pas de limite légale réelle ».

Il ajoute que « Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n’importe quel « tiers », c’est-à-dire n’importe qui dans le monde ».

Accord avec l’autorité irlandaise

Interrogée par le média irlandais The Journal, l’autorité de protection irlandaise DPC dont dépend Meta (son siège européen étant à Dublin) a expliqué que l’entreprise a retardé le lancement de cette nouvelle politique de confidentialité « à la suite d’un certain nombre de demandes de la DPC qui ont été traitées ».

L’autorité irlandaise indique que « Meta affiche maintenant une notification dans sa barre de navigation, a ajouté des mesures de transparence supplémentaires (des articles dans le « AI privacy center ») et un mécanisme dédié d’opposition ». Enfin, l’autorité insiste sur le fait d’avoir obtenu que Meta attende quatre semaines entre la notification aux utilisateurs et la date du premier entrainement avec ces données.

Elle ajoute que Meta l’a assurée « que seules les données personnelles des utilisateurs basés dans l’UE (posts et non commentaires) partagées publiquement sur Instagram et Facebook au moment de l’entrainement seront utilisées et que cela n’inclura pas les données personnelles provenant de comptes appartenant à des utilisateurs de moins de 18 ans ».

Pour noyb, cela signifie que « cette violation flagrante du RGPD est (de nouveau) basée sur un « accord » avec la DPC. Celle-ci a déjà conclu un accord avec Meta qui a permis à l’entreprise de contourner le RGPD – et qui s’est soldé par une amende de 395 millions d’euros contre Meta après que le Conseil européen de la protection des données (EDPB) a annulé la décision de la DPC irlandaise ».

Interrogée par email par Next, Meta n’a pas encore répondu à nos questions.

Schrems vs Meta, a neverending story

L’association autrichienne noyb a déposé 11 plaintes contre Meta auprès d’autant d’autorités chargées de la protection des données en Europe, dont la CNIL. Elle demande à la multinationale d’arrêter immédiatement l’utilisation abusive des données personnelles des utilisateurs de Facebook et Instagram pour l’entrainement de ses IA tel que le prévoit sa nouvelle « Politique de confidentialité ».

Mise à jour du 14 juin 17h05 : L’autorité de protection des données irlandaise, la DPC, annonce que Meta suspend son projet d’entrainement de ses grands modèles de langage avec les contenus partagés par les utilisateurs de ses réseaux sociaux Instagram et Facebook dans l’Union européenne et l’espace économique européen soumis au RGPD. La DPC s’en félicite tout en expliquant que le dialogue sur la question n’est pas fini. Max Schrems a exprimé sa joie sur X :

Woohoo @NOYBeu at work! https://t.co/AKRW4RRBFT

— Max Schrems (@maxschrems) June 14, 2024

Article initialement publié le 6 juin à 15h :

L’association de Max Schrems a annoncé avoir déposé 11 plaintes en Europe (en Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) contre la nouvelle politique de confidentialité de Facebook et Instagram mise en place par Meta, concernant l’utilisation de toutes les données des utilisateurs pour entrainer les IA de la multinationale.

Depuis fin mai, les utilisateurs européens de ces réseaux sociaux ont reçu un email dont le sujet est « nous mettons à jour notre Politique de confidentialité à mesure que nous développons l’IA de Meta ». Ce message indique qu’à partir du 26 juin 2024, l’entreprise s’appuiera désormais sur la base légale des « intérêts légitimes » de Meta pour utiliser les informations de ses utilisateurs « pour développer et améliorer l’IA de Meta ».

Cette décision de Meta a fait réagir certains utilisateurs de ses réseaux sociaux où on a pu voir des chaînes de protestation se mettre en place :

Un formulaire dissuasif

Plus clairement, l’entreprise s’autorise à partir de cette date à utiliser les données (contenus publiés mais aussi données personnelles) de ses utilisateurs collectées depuis la création de leurs comptes pour entrainer ses intelligences artificielles. Un seul moyen d’y échapper : cliquer sur le lien situé au milieu du message expliquant que « cela signifie que vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins » et remplir le formulaire auquel il renvoie.

Et encore, Meta y demande d’ « expliquer l’incidence de ce traitement sur vous » et suggère donc qu’elle pourrait refuser d’accéder à la demande. « Alors qu’en théorie, l’opt-out pourrait être mis en œuvre de telle sorte qu’il ne nécessite qu’un seul clic (comme le bouton « se désinscrire » dans les newsletters), Meta rend extrêmement compliqué le fait de s’y opposer, même pour des raisons personnelles », s’indigne noyb dans son communiqué.

L’association estime aussi que « bien que le choix logique soit celui d’un consentement explicite (opt-in), Meta prétend à nouveau qu’elle a un « intérêt légitime » qui l’emporte sur les droits fondamentaux des utilisateurs ».

noyb rappelle que l’entreprise a déjà voulu s’appuyer sur son « intérêt légitime » pour utiliser les données personnelles de ses utilisateurs pour mettre en place son système de publicités ciblées, mais que la Cour de justice de l’Union européenne a rejeté l’utilisation de cette base légale.

Meta utilise aussi une phrase très vague et très générale pour signaler ce qu’elle s’autorise à faire : « l’IA chez Meta est notre collection de fonctionnalités et d’expériences d’IA générative, comme les outils de création IA et Meta AI, ainsi que les modèles qui les alimentent ». Telle que nous la comprenons, l’entreprise s’autorise à utiliser ces données pour entrainer toutes ses IA.

Dans ses plaintes, noyb accuse Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir », et de ne pas avoir donné les informations nécessaires à ses utilisateurs.

Aucun intérêt légitime

Elle y estime tout bonnement que Meta « n’a aucun « intérêt légitime » qui prévaut sur les intérêts » des plaignants qu’elle accompagne et « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ».

Elle pointe le fait que l’entreprise « tente en réalité d’obtenir l’autorisation de traiter des données à caractère personnel pour des moyens techniques larges et non définis (« technologie d’intelligence artificielle ») sans jamais préciser la finalité du traitement en vertu de l’Article 5(1)(b) du RGPD ».

Données mises à la disposition de n’importe quel « tiers »

Elle ajoute que l’entreprise n’est même pas « en mesure de différencier correctement entre les personnes concernées pour lesquelles elle peut s’appuyer sur une base légale pour traiter les données à caractère personnel et les autres personnes concernées pour lesquelles une telle base légale n’existe pas ». De même, elle lui reproche de ne pas être capable de faire la différence « entre les données à caractère personnel qui relèvent de l’Article 9 du RGPD [qui pose une interdiction de principe des traitements relatifs à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l’appartenance syndicale, ndlr] et les autres données qui n’en relèvent pas ».

Enfin, l’association pointe le fait que « Meta déclare elle-même que le traitement des données à caractère personnel est irréversible et qu’elle n’est pas en mesure de respecter le « droit à l’oubli » ».

Pour Max Schrems, « Meta dit en substance qu’elle peut utiliser « n’importe quelle donnée provenant de n’importe quelle source pour n’importe quel usage et la mettre à la disposition de n’importe qui dans le monde », à condition que ce soit par le biais d’une « technologie d’intelligence artificielle ». Cela est clairement non conforme au RGPD. L’expression « technologie d’IA » est extrêmement large. Tout comme « l’utilisation de vos données dans des bases de données », il n’y a pas de limite légale réelle ».

Il ajoute que « Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n’importe quel « tiers », c’est-à-dire n’importe qui dans le monde ».

Accord avec l’autorité irlandaise

Interrogée par le média irlandais The Journal, l’autorité de protection irlandaise DPC dont dépend Meta (son siège européen étant à Dublin) a expliqué que l’entreprise a retardé le lancement de cette nouvelle politique de confidentialité « à la suite d’un certain nombre de demandes de la DPC qui ont été traitées ».

L’autorité irlandaise indique que « Meta affiche maintenant une notification dans sa barre de navigation, a ajouté des mesures de transparence supplémentaires (des articles dans le « AI privacy center ») et un mécanisme dédié d’opposition ». Enfin, l’autorité insiste sur le fait d’avoir obtenu que Meta attende quatre semaines entre la notification aux utilisateurs et la date du premier entrainement avec ces données.

Elle ajoute que Meta l’a assurée « que seules les données personnelles des utilisateurs basés dans l’UE (posts et non commentaires) partagées publiquement sur Instagram et Facebook au moment de l’entrainement seront utilisées et que cela n’inclura pas les données personnelles provenant de comptes appartenant à des utilisateurs de moins de 18 ans ».

Pour noyb, cela signifie que « cette violation flagrante du RGPD est (de nouveau) basée sur un « accord » avec la DPC. Celle-ci a déjà conclu un accord avec Meta qui a permis à l’entreprise de contourner le RGPD – et qui s’est soldé par une amende de 395 millions d’euros contre Meta après que le Conseil européen de la protection des données (EDPB) a annulé la décision de la DPC irlandaise ».

Interrogée par email par Next, Meta n’a pas encore répondu à nos questions.

Une lettre ouverte signée par des anciens salariés d’OpenAI et de Google DeepMind réclame la possibilité d’exprimer leurs préoccupations sur les dangers des IA les plus avancées. Certains signataires sont restés anonymes par peur de possibles représailles. Le texte est aussi soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell.

Mardi, un petit groupe d’anciens salariés d’OpenAI a publié un texte sur le site Right to warn. Leurs signatures sont accompagnées de celles de Ramana Kumar, un ancien de Google DeepMind et de Neel Nanda, ancien d’Anthropic actuellement en poste chez Google DeepMind.

Cette lettre arrive alors qu’il y a quinze jours, l’équipe chargée de contrôler les IA chez OpenAI a quitté l’entreprise. Elle a déclaré ne pas avoir reçu les moyens qui lui avaient été promis pour travailler sur le sujet. L’entreprise a, depuis, créé un nouveau comité de sécurité, mais celui-ci parait verrouillé par la présence de Sam Altman et Bret Taylor en son sein.

Dans ce contexte, OpenAI a été accusé d’éviter toute critique de ses anciens employés en leur imposant la signature d’un accord de confidentialité (NDA) qui leur interdit de la critiquer.

• Comment OpenAI évite toute critique de ses anciens employés
• [Màj] OpenAI : l’équipe chargée de contrôler les IA n’avait pas accès aux capacités de calculs promises

Seuls à pouvoir sonner l’alarme

Dans leur texte, ces ingénieurs expliquent être en position de comprendre les risques posés par ces technologies : « ces risques vont du renforcement des inégalités existantes à la manipulation et à la désinformation, en passant par la perte de contrôle des systèmes d’IA autonomes pouvant entraîner l’extinction de l’humanité ».

Ils disent « espérer que ces risques pourront être atténués de manière adéquate si la communauté scientifique, les décideurs politiques et le public fournissent des orientations suffisantes ». Mais ils ajoutent que « les entreprises d’IA ont de fortes incitations financières à éviter une surveillance efficace, et nous ne pensons pas que les structures de gouvernance d’entreprise habituelles soient suffisantes pour changer cette situation ».

Pour eux, « tant qu’il n’y aura pas de contrôle gouvernemental efficace de ces entreprises, les employés actuels et anciens sont parmi les rares personnes qui peuvent les mettre devant leurs responsabilités publiquement ».

Mais ils dénoncent les accords de confidentialité qui les « empêchent d’exprimer [leur] préoccupations ». Ils pointent une faille dans la protection des lanceurs d’alerte qui se concentre « sur les activités illégales, alors que bon nombre des risques qui nous préoccupent ne sont pas encore réglementés ».

Dénonciation des accords de confidentialité

Ils demandent donc aux entreprises d’IA de s’engager à : ne plus signer d’accords de confidentialité qui empêchent toute critique des risques liés à l’intelligence artificielle, créer un processus anonymisé de remontée des préoccupations, soutenir une culture de la critique ouverte, et s’engager à ne pas aller à l’encontre d’employés partageant publiquement des informations confidentielles liées à des risques si d’autres processus ont échoué avant.

Ce texte est soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell, des personnalités qui comptent dans cette communauté.

• Geoffrey Hinton quitte Google, des observateurs lassés par la tournure du débat sur les risques de l’IA forte

Publication tardive

Cette lettre arrive pourtant tard alors que Timnit Gebru et Margaret Mitchell ont été licenciées par Google fin 2020 et début 2021. Elles travaillaient alors sur la publication de leur article scientifique prévenant déjà des dangers des grands modèles de langage, outils sur lesquels se base l’IA générative.

• Google, IA et éthique : « départ » de Timnit Gebru, Sundar Pichai s’exprime
• Google, IA et éthique : Margaret Mitchell annonce avoir été licenciée

Interrogée par Ars Technica, Margaret Mitchell (qui travaille maintenant chez Hugging Face) témoigne de la difficulté de lancer l’alerte dans l’industrie de l’IA : « vous devez quasiment renoncer à votre carrière et à votre santé psychologique pour poursuivre en justice une organisation qui, du fait qu’elle est une entreprise, n’a pas de sentiments et dispose des ressources nécessaires pour vous détruire ».

Même si ses préoccupations concernant les dangers des IA ne sont pas les mêmes que celles des auteurs de la lettre, Margaret Mitchell « estime que les préoccupations soulevées par la lettre soulignent le besoin urgent d’une plus grande transparence, d’un meilleur contrôle et d’une meilleure protection pour les employés qui dénoncent les risques potentiels » note Ars Technica.

Mais la chercheuse ajoute que les lois « qui soutiennent de manière disproportionnée les pratiques injustes des grandes entreprises au détriment des travailleurs » doivent être modifiées significativement.