Qu'en est-il des autres droits conférés par le RGPD ? À l'heure actuelle, les fournisseurs de systèmes d'IA affirment en grande partie qu'ils ne sont pas en mesure de se conformer à d'autres exigences du RGPD, telles que le droit à l'oubli (article 17 du RGPD), une fois que les données ont été ingérées dans leurs systèmes d'IA. De même, les entreprises ont tendance à affirmer qu'elles ne peuvent pas répondre aux demandes visant à obtenir une copie des données à caractère personnel contenues dans les données de formation ou les sources de ces données (comme l'exige l'article 15 du RGPD), et qu'elles ne peuvent pas non plus corriger les données à caractère personnel inexactes (comme l'exige l'article 16 du RGPD). Cela soulève des questions supplémentaires lorsqu'il s'agit de l'ingestion illimitée de données à caractère personnel dans les systèmes d'IA.
Les violations du RGPD à grande échelle justifient une procédure d'urgence. Étant donné que Twitter a déjà commencé à traiter les données des personnes pour sa technologie d'IA, et qu'il n'y a essentiellement aucune option pour supprimer les données ingérées, noyb a demandé une "procédure d'urgence" en vertu de l'article 66 du RGPD. Les autorités de protection des données (APD) de neuf pays européens (Autriche, Belgique, France, Grèce, Irlande, Italie, Pays-Bas, Pologne et Espagne) ont reçu une telle demande au nom des personnes concernées. L'article 66 autorise les autorités chargées de la protection des données à émettre des arrêts préliminaires dans des situations telles que celle décrite ci-dessus et permet une décision à l'échelle de l'UE par l'intermédiaire de l'EDPB. La DPC irlandaise et Meta Ireland ont déjà fait l'objet de deux "décisions contraignantes urgentes" de l'EDPB dans des situations similaires (voir la décision contraignante urgente 01/2023 et la décision contraignante urgente 01/2021).
Plusieurs dispositions du RGPD violées. Outre l'absence de base juridique valable, il est très peu probable que Twitter fasse correctement la distinction entre les données des utilisateurs de l'UE/EEE et celles d'autres pays où les personnes ne bénéficient pas de la protection du RGPD. Il en va de même pour les données sensibles au titre de l'article 9 du RGPD (pour lesquelles l'argument de l'"intérêt légitime" n'est pas disponible en vertu de la loi), telles que les données révélant l'appartenance ethnique, les opinions politiques et les croyances religieuses, ainsi que d'autres données pour lesquelles un "intérêt légitime" pourrait théoriquement être revendiqué. Avec l'introduction de sa technologie d'IA, Twitter semble avoir enfreint un certain nombre d'autres dispositions du RGPD, notamment les principes du RGPD, les règles de transparence et les règles opérationnelles. Dans l'ensemble, les plaintes de noyb énumèrent des violations d'au moins les articles 5, paragraphes 1 et 2, 6, paragraphe 1, 9, paragraphe 1, 12, paragraphes 1 et 2, 13, paragraphes 1 et 2, 17, paragraphe 1, point c), 18, paragraphe 1, point d), 19, 21, paragraphe 1, et 25 du RGPD.
Partager