Meta pourrait utiliser les données des utilisateurs pour former l'IA : ce que dit la décision allemande

Les motifs de la décision rendue par la Haute Cour de Cologne , qui a reconnu le 23 mai 2025 le droit de Meta à utiliser le contenu public mis à disposition par ses clients pour former des modèles d'IA, sont enfin publics, acceptant l'argument de Big Tech selon lequel « il n'existe aucune alternative raisonnable que Meta puisse poursuivre pour atteindre ses intérêts aussi efficacement avec d'autres moyens moins invasifs ».

L'origine de la controverse

La décision a été rendue à la suite d'une plainte déposée par une association de consommateurs allemande qui se plaignait de la violation du droit à la protection des données personnelles des clients causée par le choix de Meta.

Plus précisément, l'association accusait Meta de ne pas avoir démontré que l'utilisation des données de ses clients pour former une IA était nécessaire et appropriée au regard du Règlement général sur la protection des données (RGPD) et que l'activité était interdite car elle consistait également à traiter des données personnelles « spéciales » — par exemple des données de santé — sans pouvoir invoquer les exceptions prévues par le RGPD.

Meta s'est défendue en affirmant qu'elle avait un « intérêt légitime » à utiliser du contenu public circulant sur ses plateformes compatible avec le RGPD et qu'elle avait adopté une série de mesures réduisant les risques pour les droits des individus à un niveau acceptable.

Français En particulier, précise l'arrêt, Meta a déclaré avoir limité l'utilisation des données à celles rendues publiques par les clients, avoir prévu la possibilité de changer le statut des contenus de public à privé, les excluant ainsi de l'utilisation, avoir informé les clients et leur avoir donné une possibilité effective de s'opposer au traitement, avoir dépersonnalisé les informations relatives à des individus individuels, les avoir « tokenisées » (c'est-à-dire réduites à des valeurs mathématiques nécessaires pour permettre au modèle d'effectuer les opérations de calcul) et donc les avoir découplées de l'identité personnelle des individus, et avoir adopté des mesures de sécurité tout au long du cycle de développement du modèle.

En statuant en faveur de Meta, la justice allemande a mis noir sur blanc une série de principes qui réduisent fortement l’interprétation répandue — même en Italie — de la législation sur la protection des données personnelles en affirmant une série de principes qui sont également valables en dehors des questions relatives à l’IA.

Le RGPD protège également les intérêts économiques et pas seulement les droits de l’individu

« Outre les intérêts juridiques et idéologiques, les intérêts économiques sont également considérés comme des intérêts légitimes », écrit la Cour, rappelant un arrêt de la Cour de justice de l'Union européenne , qui avait reconnu la pertinence de l'intérêt commercial d'une fédération sportive à communiquer les données de ses athlètes.

En outre, l'arrêt poursuit : « L'anonymisation de ces ensembles de données n'est pas réalisable, car il est souvent difficile d'obtenir le consentement des personnes concernées moyennant des efforts raisonnables. Cette interprétation reflète également la « dualité » des finalités de protection du RGPD, qui vise non seulement à protéger les données personnelles, mais aussi à garantir leur libre circulation et donc leur utilisabilité. »

Ainsi, même si en réalité c'est le règlement sur la protection des données personnelles qui le stipule, et qu'il n'aurait pas été nécessaire de le préciser, l'arrêt précise que les intérêts des entreprises ont la même dignité que les droits des individus. En d'autres termes : il n'existe aucune prévalence « de principe » empêchant l'utilisation des données personnelles dans le cadre de l'activité économique. L'important, réitère la Cour, est que cette utilisation soit effectivement nécessaire et indispensable pour obtenir un résultat licite, même si elle n'est pas expressément prévue par la loi .

Pour comprendre la portée de ce principe, il suffit de penser aux problématiques liées au stockage des données de trafic internet et des métadonnées des e-mails, à celles liées à l'utilisation d'analyses de données ou à celles découlant du modèle « pay or okay » (ou plutôt « payer en argent ou payer en données ») . Au vu de cet arrêt, il n'est pas vrai que ces activités soient illégales en soi, mais le lien entre le « sacrifice » concrètement imposé au client et les objectifs du fournisseur doit être vérifié au cas par cas. Si, en pratique, les risques pour les droits et libertés fondamentaux de la personne sont suffisamment limités, une entreprise ne peut être empêchée de traiter les données personnelles concernées.

Les risques à prendre en compte sont uniquement ceux directement liés au fonctionnement du modèle

Un autre principe fondamental pour le développement de l’IA dans l’Union européenne est que, lors de l’évaluation des conséquences du traitement des données personnelles, seules celles liées à la formation de l’IA elle-même doivent être prises en compte.

Les juges écrivent à ce sujet : « D’autres violations potentielles de la loi pouvant résulter du fonctionnement ultérieur de l’IA (telles que la désinformation, les manipulations, ou d’autres pratiques préjudiciables) ne sont actuellement pas suffisamment prévisibles et peuvent faire l’objet de poursuites distinctes. En tout état de cause, la possibilité que de tels risques se matérialisent au point de rendre impossible l’utilisation légitime de l’IA et, in fine, de remettre en question la pertinence du traitement des données est faible. »

Avec une extrême lucidité, les juges affirment le principe selon lequel, pour évaluer si des données personnelles peuvent être utilisées pour entraîner une IA, seules les conséquences directes découlant de l'utilisation des données en question doivent être prises en compte, et non le fait que quelqu'un pourrait utiliser le modèle à l'avenir pour commettre des actes illégaux. Dans ce cas, note le tribunal, d'autres règles existantes s'appliquent, car, déduit-il, le modèle d'IA est l' outil par lequel les lois sont violées, et non l' auteur de la violation.

L'anonymisation totale n'est pas nécessaire

Un autre point de discorde entre les parties portait sur la dé-identification par l'élimination des données relatives aux personnes, mais sur la permanence des photos.

Meta a estimé qu'il suffisait de supprimer des données telles que les noms complets, les adresses e-mail, les numéros de téléphone, les numéros d'identification nationale, les identifiants d'utilisateur, les numéros de carte de crédit/débit, les numéros/codes bancaires, les plaques d'immatriculation, les adresses IP et les adresses postales, et de les transformer en données non structurées et « tokenisées ». À ce propos, elle déclare : « Bien que cela n'exclue pas que, malgré la dépersonnalisation, une identification puisse encore se produire dans certains cas, le tribunal estime que ces mesures réduiront le risque global. »

La formation d’une IA n’est pas un traitement ciblé sur un individu spécifique

Ici aussi, il convient de citer le jugement mot pour mot : « le développement de grands modèles linguistiques basés sur de très grands ensembles de données ne concerne généralement pas le traitement ciblé de données personnelles ou l’identification d’une personne spécifique » et encore « les conditions préalables qui permettent un traitement non ciblé sont suffisamment satisfaites par la finalité de la formation de l’IA, qui vise à créer des modèles généraux de calcul de probabilités et non à profiler des personnes individuelles », ainsi que par les nombreuses mesures de protection adoptées par les défendeurs. »

Il s'agit d'un passage essentiel de l'arrêt, car il réitère un autre aspect pratiquement jamais pris en compte dans l'application (italienne) du RGPD : le règlement s'applique aux traitements qui identifient ou rendent identifiable une personne spécifique , et non des catégories ou des groupes. Par conséquent, étant donné que la tokenisation du contenu des publications diffusées sur les réseaux sociaux de Meta a été réalisée grâce à une anonymisation suffisante des personnes, les traitements des données ainsi obtenus ne constituent pas une violation de la loi.

Ici aussi, les conséquences pratiques du principe juridique vont au-delà du cadre de l’IA car, par exemple, elles réfutent la thèse selon laquelle toutes les activités de profilage effectuées, par exemple, à l’aide de trackers, de numéros IP ou d’autres outils qui identifient des appareils ou des logiciels et non, au contraire, qui les utilise, sont systématiquement en violation de la loi.

Un message à la Commission européenne et aux autorités nationales de protection des données

Comme répété à plusieurs reprises, ce processus prend une valeur plus générale qui transcende la question Meta car il concerne la relation entre les présupposés idéologiques de la standardisation et les conséquences industrielles du développement technologique.

Il est évident que depuis près de dix ans, le RGPD a été interprété unilatéralement au détriment des intérêts légitimes de ceux qui innovent, au nom d’une fétichisation de la « vie privée » (terme également absent du règlement européen).

Les autorités nationales de protection ont donc adopté des dispositions et des mesures de soft law qui n’ont pas dûment pris en considération ce que le règlement avait déjà prévu depuis sa promulgation : tant que l’on se situe dans le périmètre de la loi, il n’y a pas d’interdictions absolues de traitement des données personnelles mais une mise en balance des intérêts, et la mise en balance des intérêts doit être vérifiée au cas par cas.

Le RGPD n’est certainement pas parfait et nécessiterait une refonte en profondeur, mais cette décision démontre qu’il peut être interprété de manière raisonnable, en tenant également compte des règles qui protègent la recherche et les entreprises.

Soyons clairs, il ne s’agit pas d’appeler à « donner carte blanche » aux Big Tech ou, en général, aux entreprises et donc de sacrifier la personne sur l’autel du profit, mais l’inverse ne peut pas non plus être fait, au nom d’une ambiguïté jamais éclaircie sur le rôle que les technologies de l’information peuvent et doivent avoir dans la transformation de notre société.

C’est le point que la Commission européenne devrait prendre en compte lors de l’adoption des actes opérationnels du règlement sur l’IA et lors de l’identification des modifications du RGPD qui sont finalement discutées.