Pas de personnalisation des données personnelles

Dans une communication conjointe, le contrôleur et le comité européens de la protection des données (EDPS et EDPB) se prononcent clairement contre la redéfinition des données personnelles proposées par la Commission européenne dans le cadre de son Digital Omnibus. En janvier, ils appelaient aussi à diverses précautions en matière de réécriture du règlement sur l’IA.

En matière d’omnibus numérique, le contrôleur et le comité européens de la protection des données (EDPS et EDPB en anglais, CEPD en français) sont on ne peut plus clairs : ils estiment toute tentative de redéfinir ce qui constitue une donnée personnelle comme un danger. Dans un communiqué conjoint, les deux entités appellent « fortement les colégislateurs à ne pas adopter les modifications (…) proposées » en la matière (voir aussi le résumé, en français, qu’en propose la CNIL).

• La Commission publie son projet d’omnibus numérique dans un contexte tendu

Si la redéfinition de ce qui constitue une donnée personnelle a pu être décrite comme le simple fait d’ancrer dans la loi une interprétation déjà donnée par la Cour européenne, l’EDPS et l’EDPB déclarent que les modifications proposées iraient en réalité « bien au-delà ».

Dans son arrêt SRB du 4 septembre 2025, la Cour de justice de l’Union européenne considérait en effet que des données pseudonymisées pouvaient être considérées comme n’étant pas des données personnelles pour leur destinataire si des mesures techniques et organisationnelles étaient prises pour l’empêcher d’accéder à des éléments identifiant, et si ce destinataire ne pouvait légalement mettre la main sur des éléments lui permettant de ré-identifier les personnes concernées, ou transmettre les données à un tiers à même d’opérer cette ré identification.

Dans leur communication conjointe de ce 11 février, l’EDPS et l’EDPB déclarent qu’en l’état, le Digital Omnibus propose une redéfinition de la nature d’une donnée personnelle bien plus large que la simple intégration de cet arrêt. « La simplification est essentielle pour réduire les formalités administratives et renforcer la compétitivité de l’Union, mais pas aux dépens des droits fondamentaux », déclare Anu Talus, la directrice de l’EDPB. Une position qui fait écho à celle d’entités de défense des droits numériques comme noyb (qui salue leur décision), ou l’organisation European Digital Rights (EDRi).

Maintenir un registre des systèmes d’IA à haut risque

En matière d’intelligence artificielle, l’EDPS et l’EDPB soulignent de nouveau leur scepticisme vis-à-vis de l’intégration, au sein du RGPD, d’un fondement légal à l’usage de données personnelles pour le développement et le déploiement de systèmes d’IA. En janvier, dans une communication conjointe spécifiquement dédiée à la partie du Digital Omnibus visant le règlement en cours d’application sur l’intelligence artificielle (RIA ou AI Act), elles convenaient là aussi du besoin de répondre à quelques enjeux concrets, mais insistaient sur le besoin de préserver les droits fondamentaux.

En pratique, elles contestaient la proposition de supprimer l’obligation d’enregistrer les systèmes à haut risque dans un registre public – proposition soutenue notamment par les lobbies des géants numériques américains. À défaut, elles estiment que cette évolution « abimerait significativement la responsabilité et créerait une incitation indésirable pour les fournisseurs à demander des exemptions pour éviter l’examen public ».

• Derrière le Digital Omnibus, les traces des lobbies des Big Tech

L’EDPS et l’EDPB appelaient par ailleurs à préciser la possibilité d’utiliser des données personnelles comme l’origine ethnique ou des données de santé pour de la détection et de la correction de biais « uniquement dans les situations circonscrites où les risques d’effets adverses provoqués par ces biais sont considérés suffisamment sérieux ».

Bacs à sable réglementaires et gestion des cookies

L’EDPS et l’EDPB saluent aussi plusieurs propositions d’intérêt dans les deux omnibus. Côté IA, elles soulignaient en janvier l’intérêt des bacs à sable réglementaires de niveau européen, permettant de « promouvoir l’innovation ». Elles recommandaient d’y faire directement participer les autorités de protection des données compétentes.

Côté Digital Omnibus, les deux entités saluent les modèles et listes communes proposées pour auditer les impacts en termes de protection des données en cas de fuites. Elles appellent néanmoins à augmenter les seuils de risques en fonction desquels la notification aux autorités de protection des données devient obligatoire et à allonger le délai de notification.

Elles soutiennent l’harmonisation de la notion de « recherche scientifique » dans les textes, et le projet d’amender la directive ePrivacy pour trouver des solutions à la « consent fatigue », c’est-à-dire à la multiplication des bannières de gestion des cookies demandant à un même internaute s’il ou elle consent à partager ses données.

MissionlessAI

Critiqué pour son déploiement de publicité dans ChatGPT et son projet de donner accès à des fonctionnalités de contenu érotique, OpenAI voit plusieurs membres quitter ses effectifs au moment même où l’entreprise supprime son équipe dédiée à l’énoncé clair de sa mission.

Que se passe-t-il au sein d’OpenAI ? Sous la pression d’un « code rouge » déclaré début décembre pour tenter de rattraper le retard perçu sur la concurrence, les relations se sont visiblement tendues, au sein de l’entreprise créatrice de ChatGPT.

En janvier, la société se défaisait de l’une de ses cadres en charge de la sécurité des utilisateurs, Ryan Beiermeister. Cette dernière s’était exprimée publiquement pour critiquer le déploiement de contenu érotique généré par IA sur les produits liés à ChatGPT. Elle est licenciée au motif qu’elle aurait commis une discrimination de genre à l’encontre de l’un de ses collègues masculins.

En ce début février, la chercheuse Zoë Hitzig a de son côté publié dans le New-York Times une prise de parole dans laquelle elle décrit OpenAI « en train de faire les erreurs de Facebook ». Sa démission s’est faite le jour où son entreprise a commencé à tester la diffusion de publicité au sein de ChatGPT.

Ce 11 février, OpenAI indiquait par ailleurs mettre fin à son équipe dédiée à « l’alignement de la mission ». Fondée en 2024, celle-ci devait expliciter la mission de l’entreprise aussi bien au public qu’aux propres équipes d’OpenAI. Le chef de cette équipe, Josh Achiam, est désormais nommé « futurologue en chef », tandis que les six ou sept personnes sous sa responsabilité ont été réaffectées. Initialement, le projet public d’OpenAI était de s’assurer que l’intelligence artificielle « générale » profite à toute l’humanité.

• Karen Hao : « Les empires de l’IA étouffent l’innovation »

Une fonctionnalité érotique critiquée 


Ryan Beiermeister a donc été remerciée au retour d’un congé, en amont du lancement d’un produit prévu pour le courant 2026, avec lequel les utilisateurs de ChatGPT pourraient créer des contenus érotiques générés par IA et tenir des conversations à caractère sexuel.

En janvier, cette ancienne de Palantir et Meta se serait vu licenciée pour avoir discriminé un collègue masculin en fonction de son genre, d’après des sources du Washington Post. Auprès du média, l’ancienne vice-présidente en charge des politiques d’utilisation de l’entreprise déclare que « l’allégation selon laquelle j’aurais discriminé quiconque est totalement fausse ». OpenAI indique de son côté que Ryan Beiermeister « a fourni des contributions de valeur pendant son passage chez OpenAI », et que son départ n’est « pas lié au moindre problème qu’elle aurait soulevé alors qu’elle travaillait pour l’entreprise ».

Les fonctionnalités érotiques contre lesquelles elle s’était élevée ont été critiquées par divers acteurs. Celles-ci seraient en effet déployées dans un contexte de diffusion à grande échelle de deepfakes pornographiques générés avec Grok, ce qui vaut plusieurs enquêtes à son propriétaire Elon Musk, et contre le réseau social X sur lequel l’essentiel de ces contenus sont diffusés. Par ailleurs, des chercheurs soulignent que les relations parfois très fortes que certains internautes lient avec les robots conversationnels ne sont pas encore assez étudiées ni comprises. Dans certains cas, elles ont mené jusqu’à des suicides – dans l’affaire médiatisée du décès de l’adolescent Adam Raine, OpenAI a d’ailleurs rejeté en novembre la responsabilité sur la victime.

• Deepfakes sur Grok : les locaux français de X perquisitionnés

Plusieurs employés d’OpenAI ont exprimé des inquiétudes au sujet de ce nouveau mode. Le patron de l’entreprise Sam Altman en défend le déploiement comme une manière de « traiter les adultes comme des adultes ».

Un lancement publicitaire publiquement décrié

En parallèle de ces questions, l’entreprise vient par ailleurs de lancer le test de fonctionnalités publicitaires dans ChatGPT. Une évolution présentée comme un « test afin d’apprendre, de recueillir des commentaires et de nous assurer que l’expérience est satisfaisante ». Pour l’économiste et poète Zoë Hitzig, en poste depuis deux ans au sein de l’entreprise, cette stratégie n’est qu’une reproduction des erreurs commises par Facebook il y a quinze ans.

« J’ai cru un jour pouvoir aider les développeurs d’IA à anticiper les problèmes que celle-ci allait poser, écrit-elle dans le quotidien. Cette semaine m’a confirmé ce que je commençais lentement à comprendre : OpenAI semble avoir cessé de se poser les questions auxquelles je devais aider à répondre. » Pour elle, la nature des données traitées par les machines de l’entreprise rend la publicité particulièrement dangereuse. Les internautes partagent en effet des éléments comme leurs inquiétudes médicales, leurs problèmes relationnels ou encore les croyances religieuses avec le chatbot conversationnel.

Et de souligner que, comme Facebook aux débuts de ses expérimentations publicitaires, OpenAI promet qu’elle suivra des principes d’étiquetage clair et veillera à ce que ses activités publicitaires n’influent pas sur les réponses. Si Zoë Hitzig « croit que les premières itérations » rempliront ces critères, elle craint que les suivantes, comme chez Meta, voient ces promesses s’éroder.

« Beaucoup de gens considèrent le problème du financement de l’IA comme un choix entre deux maux : restreindre l’accès à une technologie transformatrice à un petit groupe de personnes suffisamment riches pour se le permettre, ou accepter les publicités, même si cela implique d’exploiter les peurs et les désirs les plus profonds des utilisateurs », écrit encore la chercheuse.

Pour elle, cette vision binaire est un faux choix : les sociétés technologiques sont en capacité de créer des options permettant de rendre des outils largement accessibles sans créer d’incitation à « surveiller, utiliser le profilage et manipuler ses utilisateurs ».

La dissolution de l’équipe dédiée à réfléchir et rendre explicite la mission que se fixe OpenAI laisse néanmoins supposer que la recherche de ce type d’options ne fait pas ou plus partie des priorités de l’entreprise.

• Anthropic, OpenAI, Google : entre stratégie de conquête et manœuvres financières

Pour les utilisateurs des caméras de sécurité Nest de Google dont les flux sont conservés dans le cloud, impossible d’obtenir un stockage de long terme sans payer un tarif mensuel. Google garde néanmoins les données sur ses serveurs. Ainsi, lorsque Nancy Guthrie, la mère d’une présentatrice star aux États-Unis, Savannah Guthrie, disparaît, l’entreprise a pu les récupérer et les fournir aux autorités.

Âgée de 84 ans, Nancy Guthrie a été enlevée de chez elle le 1ᵉʳ février. Sur le coup, les forces de police ont déclaré qu’aucune vidéo de ce kidnapping n’était disponible : Nancy Guthrie ne payait pas d’abonnement pour sa Google Nest Cam, situation dans laquelle l’entreprise technologique ne donne habituellement accès qu’aux dernières heures d’enregistrement. 


Pour accéder à l’enregistrement des 30 derniers jours de vidéos « limité aux événements », il faut normalement payer 10 dollars (ou 10 euros) par mois, et 20 dollars (ou 18 euros) pour pouvoir revenir sur les 60 derniers jours, toujours limités aux événements (mais avec aussi 10 jours d’historique en continu 24 h/24).

Le 10 février, le FBI publiait finalement deux vidéos prises par le dispositif, dans lequel on observe distinctement un homme cagoulé et armé chercher dans le jardin de quoi obstruer l’objectif. D’après les enquêteurs, les deux extraits ont été « récupérés de data résiduelles restées dans les systèmes backend ». Google aurait eu besoin de plusieurs jours pour remettre la main dessus.

L’épisode rappelle néanmoins qu’en cas de stockage de données dans un cloud – c’est-à-dire, concrètement, sur les serveurs de quelqu’un d’autre, en l’occurrence d’un géant numérique –, ce n’est pas parce que l’internaute a supprimé ou perdu l’accès à ses données que celles-ci ont entièrement disparu. Dans le cas des caméras Google Nest, même avec un abonnement gratuit, les flux vidéos sont envoyés sur les serveurs, et donc accessibles à Google.

Dans le cas présent, Google a indiqué à Ars Technica ne pas utiliser les vidéos enregistrées pour d’autres services internes (par exemple : pour entraîner ses modèles d’intelligence artificielle). L’entreprise s’intéresse néanmoins à la manière dont les internautes interagissent avec tous ses services pour améliorer la manière dont elle les construit.

Cette affaire rappelle une réalité que les géants du Net évitent de mettre en avant : toutes les données envoyées sur leurs serveurs leur sont accessibles. Avec des lois étasuniennes telles que le Cloud Act et FISA, les autorités peuvent tout à fait demander à récupérer des données stockées par des sociétés locales, quelle que soit la localisation géographique des serveurs. L’occasion de rappeler l’importance de chiffrer ses données avant de les envoyer dans le cloud.

Que l’on utilise Google Nest Cam ou Amazon Ring, pour ne citer que ces deux exemples, ce n’est pas parce que les vidéos ne sont plus visibles pour l’utilisateur qu’elles n’existent plus dans les serveurs des fournisseurs de services de stockage.

• Chiffrer ses données avant de les envoyer dans le cloud : tour d’horizon des solutions