Opinion | Eléonore Favero Agostini, Adlane Avocats « Meta, l’IA et les données européennes : un test de résistance pour le RGPD »
09/06/2025
À partir de la fin mai/début juin 2025, Meta a étendu considérablement l’usage des données de ses utilisateurs européens pour entraîner ses systèmes d’intelligence artificielle. Cette décision marque une rupture : les publications publiques — anciennes ou nouvelles — des utilisateurs adultes de Facebook, Instagram ou WhatsApp, mais aussi leurs interactions avec les outils d’IA, seront aspirées pour nourrir les modèles comme Meta-AI. Derrière cette évolution technique, se cache de profondes tensions juridiques et éthiques.
Eléonore Favero Agostini – Associée fondatrice du cabinet Adlane Avocats
Un droit d’opposition… théorique ?
Tout responsable de traitement doit fonder les traitements qu’il met en œuvre sur l’une des bases légales listées à l’article 6 du RGPD. Le traitement envisagé à partir des données personnelles des utilisateurs est fondé sur l’intérêt légitime.
Lorsqu’un traitement est fondé sur l’intérêt légitime, les personnes concernées peuvent, à tout moment, demander à s’y opposer pour des raisons tenant à leur situation particulière (article 21 du RGPD). Le responsable du traitement doit alors y faire droit, sauf motif impérieux et légitime qu’il pourrait invoquer afin de continuer à traiter de la donnée.
Les personnes concernées devraient donc pouvoir exercer leur droit d’opposition à la fois sur les bases de données d’apprentissage, et sur les modèles d’IA, dès lors que celles-ci ne peuvent être considérés comme anonymes.
Cependant, selon la CNIL* la limite majeure dans l’exercice du droit d’opposition dans le cadre d’une IA générative tient à l’identification de la personne concernée. En effet, dans les jeux de données servant à entraîner les modèles d’IA, le responsable du traitement ne conserve souvent aucune information permettant d’identifier directement les personnes concernées. Sans identifiant, il devient donc techniquement difficile, voire impossible de répondre aux demandes d’opposition.
Toutefois, ce n’est pas parce que l’identification est difficile que le responsable de traitement ne doit pas tenter de mettre en œuvre des mesures complémentaires afin de permettre cette identification. L’article 12 du RGPD prévoit la possibilité pour les personnes concernées de fournir des informations complémentaires afin d’aider les responsables du traitement à les identifier et à exercer leurs droits.
Par conséquent, en combinant le principe du Privacy by Design et l’obligation de faciliter l’exercice des droits, Meta devra anticiper ces difficultés en précisant quelles informations complémentaires peuvent être fournies pour permettre l’identification des personnes concernées.
L’utilisation de données passées (anciennes publications) est-elle compatible avec les principes du RGPD ?
Le RGPD repose sur plusieurs principes, dont l’obligation de déterminer une finalité précise pour les traitements mis en œuvre, assurer la transparence en informant les personnes concernées et limiter dans le temps la conservation des données.
Avant même le RGPD, la loi Informatique et Libertés** avait déjà introduit l’infraction de détournement de finalité. Cette infraction consiste à collecter des données personnelles pour une finalité déterminée, puis de la réutiliser pour une finalité différente sans en informer les personnes concernées. Par exemple, un détournement de finalité sera réalisé lorsqu’un employeur met ne place un système de badge électronique pour contrôler l’accès aux locaux professionnels mais qu’il utilise également ce traitement pour surveiller les horaires de travail de ses salariés.
Réutiliser des publications de 2012 pour entraîner une IA de 2025 soulève une question essentielle : les utilisateurs ont-ils réellement été informés que leurs contenus pourraient servir à cette finalité ? Manifestement, non.
Il est donc nécessaire de procéder à une nouvelle information des personnes. Or, dans le cas d’une collecte indirecte comme celle envisagée par Meta, cette information peut s’avérer compliquée, pour les mêmes raisons liées à l’identification des personnes.
Le Comité européen de la protection des données*** (CEPD) avait déjà considéré à propos de ChatGPT qu’il était possible d’appliquer l’article 14 (5)(b) du RGPD. Cet article prévoit que si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, le responsable du traitement devra prendre des mesures appropriées pour protéger les droits et les libertés des personnes, notamment en rendant les informations publiquement accessibles.
Meta devra donc prévoir une information spécifique des personnes qu’il peut identifier aisément mais devra également prévoir de rendre ses informations disponibles publiquement pour toutes les personnes qui n’auront pu être identifiées.
Un contenu publié publiquement par un tiers peut-il être utilisé par Meta même s’il contient mes données personnelles ?
Meta précise que la collecte de données envisagée concerne également bien les contenus relatifs à une personne (nom, photographie de groupe, tags, etc…) publiés par des tiers. Ainsi, même des utilisateurs qui n’ont jamais eu de compte Facebook pourraient être concernées.
Certains collectifs, tels que l’UFC Que Choisir****, considèrent que la base légale invoquée ainsi que l’information fournie ne suffisent pas à assurer la conformité au Règlement européen de la collecte créée par Meta. Ils ont donc décidé de mettre en demeure Meta de se conformer au RGPD.
Quels recours pour les utilisateurs ?
Face à ce dispositif, les utilisateurs peuvent théoriquement saisir leur autorité nationale de protection des données (la CNIL en France), déposer une plainte ou engager une action collective. Ils peuvent aussi utiliser leur droit d’accès pour demander à Meta s’ils ont utilisé leurs données, et exiger leur suppression.
Meta permet l’exercice du droit d’opposition via un formulaire spécifique, à remplir directement, sans qu’il soit nécessaire de justifier sa demande.
Comment un utilisateur peut-il prouver que Meta utilise ses données sans consentement ?
De manière générale, la CNIL recommande de documenter l’exercice de ses droits (preuve d’envoi, contenu de la demande) pour faciliter l’instruction.
Dans le contexte de Meta, cela pourrait par exemple prendre la forme de :
- La preuve de la complétude des formulaires d’opposition mis en ligne par Meta ;
- Des captures d’écran montrant l’utilisation des données (ex : extrait généré par Meta AI)
- La copie des échanges avec Meta indiquant que l’opposition n’a pas été pris en compte / respecté (accusés de réception, réponses automatiques) ;
- Toute mention prouvant l’absence de consentement préalable ou l’impossibilité de s’y opposer.
Les autorités européennes ont-elles les moyens d’imposer des limitations concrètes à Meta ?
Les autorités européennes disposent de plusieurs leviers, mais leur efficacité dissuasive reste à prouver. Le RGPD, le DMA (Digital Markets Act) et le futur AI Act offrent une architecture robuste, mais lente à déployer.
Le RGPD est l’un des cadres les plus stricts au monde en matière de protection des données personnelles. Il offre des outils juridiques solides pour encadrer restreindre ou sanctionner les pratiques de collecte non-conforme. Cependant, sa mise en œuvre dépend des autorités nationales, ce qui peut entraîner des lenteurs ou des disparités dans son application. La preuve du non-respect de ses obligations est également souvent difficile à apporter.
De son côté, l’IA Act n’est pas encore pleinement opérationnel et certains mécanismes entreront en vigueur progressivement. Son efficacité dépendra fortement de la capacité des autorités à en assurer l’application.
Quel risque pour les entreprises européennes ?
Les entreprises qui intègrent des outils IA de Meta dans leurs services (ex : assistance automatisée, production de contenu) doivent veiller à la licéité de ces outils. Lorsqu’ils recourent à ces outils, ils auront généralement la qualification de responsable du traitement. Les entreprises pourraient être tenues responsables des manquements à la conformité de ces différents outils, tant auprès des personnes concernées que des autorités de contrôle.
Conclusion
Face à l’évolution technologique que représente l’entraînement des systèmes d’intelligence artificielle à partir de contenus publiés sur les réseaux sociaux, la stratégie de Meta soulève des tensions profondes entre innovation et respect des droits fondamentaux. Le caractère public d’une donnée ne la soustrait pas aux exigences du RGPD, et l’usage de contenus anciens ou publiés par des tiers, sans information adéquate ni possibilité concrète d’opposition, met à l’épreuve la robustesse du cadre européen de protection des données. Les mécanismes de consentement et d’opposition apparaissent ici fragiles, voire inopérants, face à l’ampleur et l’opacité du traitement envisagé.
Dans ce contexte, la responsabilité ne repose pas uniquement sur Meta, mais aussi sur les institutions européennes et les acteurs économiques qui utilisent ses outils. Les autorités de contrôle devront agir
de manière coordonnée et rigoureuse pour garantir l’effectivité des droits des personnes, y compris dans un environnement algorithmique complexe. De leur côté, les entreprises européennes devront évaluer avec attention la conformité des outils qu’elles intègrent, sous peine d’engager leur propre responsabilité. Plus que jamais, la protection des données personnelles devient une composante incontournable de la souveraineté numérique européenne.
A propos d’Adlane Avocats
Adlane Avocats est un cabinet d’expertise de niche dédié au contentieux et à la conformité, fondé par Hassan Ben Hamadi et Éléonore Favero. Il intervient plus particulièrement en droit pénal des affaires, droit des nouvelles technologies, et gestion des risques environnementaux et technologiques.
Le cabinet accompagne une clientèle française et internationale, composée d’entreprises et de dirigeants, dans des situations sensibles à fort enjeu juridique et réputationnel.