La DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle a engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire a été renvoyée devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration de la DPC publiée le 8 août 2024) de manière permanente.
La demande a été déposée dans des circonstances urgentes où la DPC avait de sérieuses inquiétudes quant au fait que le traitement des données personnelles contenues dans les messages publics des utilisateurs de X dans l’UE/EEE aux fins de la formation de son IA « Grok » donnait lieu à un risque pour les droits et libertés fondamentaux des individus. C’était la première fois que la DPC, en tant qu’autorité de contrôle principale dans l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018[2].
Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat d’aujourd’hui qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre les mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour d’avoir examiné cette question ».
Plus généralement, la DPC aborde les problèmes découlant de l’utilisation des données personnelles dans les modèles d’IA dans l’ensemble du secteur. Aujourd’hui, la DPC demande au Comité européen de la protection des données (« le CEPD ») un avis conformément à l’article 64(2) du RGPD[3]. Cette demande sera formulée afin de déclencher une discussion et de faciliter l’accord, au niveau du CEPD, sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins de développement et de formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe. L’avis invite le CEPD à examiner, entre autres, la mesure dans laquelle les données personnelles sont traitées à différentes étapes de la formation et du fonctionnement d’un modèle d’IA, y compris les données de première partie et de tiers, et la question connexe des considérations particulières qui se posent, en relation avec l’évaluation de la base juridique sur laquelle s’appuie le responsable du traitement des données pour fonder ce traitement.
Le commissaire Dale Sunderland a déclaré : « La DPC espère que l’avis qui en résultera permettra une réglementation proactive, efficace et cohérente à l’échelle européenne dans ce domaine. Il soutiendra également le traitement d’un certain nombre de plaintes qui ont été déposées auprès de la DPC/transmises à l’encontre de différents responsables du traitement des données, à des fins liées à la formation et au développement de divers modèles d’IA. »