Le réseau social X, propriété du milliardaire Elon Musk, a été officiellement visé, le 11 avril, par une enquête ouverte par la Commission de protection des données irlandaise (DPC). Celle-ci intervient pour le compte de l’Union européenne et vise à déterminer si la plateforme a enfreint les règles du Règlement général sur la protection des données (RGPD) en utilisant les informations personnelles de ses utilisateurs pour alimenter son système d’intelligence artificielle, notamment Grok.
Données personnelles : l’UE enquête sur les pratiques de X et son IA Grok
By
Published on 14 avril 2025 19h30
X et l’ombre grandissante de Grok : la collecte à tout prix
Le réseau social X, autrefois connu sous le nom de Twitter, s’est lancé dans une mutation accélérée vers l’intelligence artificielle générative. Depuis son rachat par Elon Musk, la plateforme mise sur son propre modèle d’IA, baptisé Grok, présenté comme un rival de ChatGPT. Mais à quel prix ? Selon les éléments de l’enquête rapportés par Le Figaro, la DPC s’intéresse particulièrement aux « données personnelles incluses dans les publications accessibles au public mises en ligne sur la plateforme de réseaux sociaux X par les utilisateurs de l’Union Européenne et de l’Espace économique européen ».
Autrement dit, les messages publics postés par les utilisateurs européens pourraient avoir été aspirés par l’algorithme de Grok sans consentement explicite. Or, cette collecte de données ne date pas d’hier. En juillet 2024, une enquête de Le Monde révélait que X activait par défaut l’utilisation des publications et interactions pour l'entraînement de Grok, sans en informer clairement ses membres. Pire, la désactivation de cette option était impossible depuis l’application mobile, rendant toute opposition quasiment inaccessible.
Promesses non tenues : un virage douteux depuis septembre 2024
En septembre 2024, sous la pression de plusieurs régulateurs européens, X avait promis de cesser l’utilisation des données personnelles de ses utilisateurs basés en Europe. À l’époque, la DPC avait retiré une procédure judiciaire engagée devant la Haute Cour irlandaise. L’affaire semblait temporairement close. Mais voilà que la trêve n’était qu’illusoire.
Selon la DPC, X aurait poursuivi l’entraînement de Grok avec des données personnelles postérieures au 1er août 2024, rompant ainsi son propre engagement. Le régulateur irlandais précise que l’enquête visera à vérifier la conformité de cette pratique « avec une série de dispositions clés du RGPD », notamment en ce qui concerne « la légalité et la transparence du traitement » des données, peut-on lire dans 20 Minutes. Un double manquement, donc : d’abord en matière de consentement, ensuite en matière de loyauté dans la communication. Deux piliers centraux du RGPD.
L’Europe serre la vis : la DPC pourrait imposer des sanctions
Si la DPC a compétence en la matière, c’est parce que le siège européen de X est établi en Irlande, un choix stratégique partagé par de nombreux géants de la tech pour bénéficier d’une régulation historiquement plus souple. Mais ce temps-là semble révolu. En lançant cette enquête, la DPC montre les muscles. Si une infraction est avérée, X pourrait écoper d’une amende équivalente à 4 % de son chiffre d’affaires mondial, comme le prévoit le RGPD.
Pour un groupe aussi tentaculaire, cela représenterait potentiellement des centaines de millions d’euros. Et cette action pourrait bien ne pas rester isolée. En août 2024, l’organisation NOYB (None of Your Business), fondée par l’activiste Max Schrems, avait déjà déposé une plainte similaire en Autriche, accusant X de ne pas respecter les principes de limitation des finalités et de minimisation des données.
Une tendance lourde : l’IA à tout prix, la vie privée en option ?
Ce cas illustre une dérive inquiétante, les grands acteurs du numérique semblent de plus en plus enclins à considérer la masse d’informations personnelles partagée sur les plateformes comme un réservoir naturel pour leurs IA. Une sorte de gisement d’or numérique, libre d’accès, où le consentement est vu comme un simple obstacle à contourner. Le problème, c’est que l’Union européenne n’est pas la Silicon Valley.
Le RGPD n’est pas une formalité administrative, mais un texte de référence censé garantir que l’humain ne soit pas une variable d’entraînement parmi d’autres. En cela, cette affaire dépasse le seul cadre de X. Elle soulève une question de fond : jusqu’où les entreprises peuvent-elles aller pour nourrir leurs IA, et à quel moment faut-il poser une limite nette ?