Meta a récemment déclenché une vague d’inquiétudes en Europe en annonçant vouloir utiliser les données personnelles de ses utilisateurs pour entraîner ses systèmes d’intelligence artificielle, sans en demander le consentement explicite. La justification ? Un « intérêt légitime », notion prévue par le RGPD mais strictement encadrée. À première vue, l’entreprise semble s’appuyer sur cette base juridique pour contourner l’obligation de recueil de consentement éclairé, pourtant centrale dans le droit européen. Mais cette interprétation suscite de vives critiques et pourrait marquer un tournant dans la confrontation entre innovation technologique et respect de la vie privée.
« L’intérêt légitime suffit-il à justifier une collecte massive de données sans consentement ? »
Dans le RGPD, l’intérêt légitime est l’une des six bases juridiques autorisant le traitement de données. Mais il doit toujours être mis en balance avec les droits et libertés fondamentaux des personnes concernées. La jurisprudence européenne est claire : si les utilisateurs n’attendent pas raisonnablement un tel traitement, ou s’ils ne sont pas suffisamment informés, alors cette base juridique devient invalide. Et c’est bien là que le bât blesse dans le cas Meta.
Une étude menée en Allemagne par le cabinet Civey en juin 2024, auprès de 1 000 utilisateurs de Facebook, révèle que 73 % des répondants avaient entendu parler du projet d’entraînement de l’IA par Meta. Mais seulement 7 % d’entre eux y étaient favorables, et 27 % n’étaient pas du tout informés de cette intention. Ces chiffres fragilisent l’argument de l’«attente raisonnable» des utilisateurs : difficile de parler d’une attente implicite si la majorité des personnes interrogées rejette ou ignore la pratique. S’ajoute à cela le manque de clarté dans les informations transmises par Meta : la communication est jugée complexe, peu accessible, et souvent noyée dans des politiques de confidentialité opaques.
En choisissant cette voie juridique, Meta s’expose à plusieurs types de conséquences. D’abord, des sanctions potentielles si une autorité nationale de protection des données — comme la CNIL en France ou la DPC en Irlande — juge que l’usage de l’intérêt légitime est abusif. Ensuite, des actions collectives : l’association NOYB de Max Schrems a déjà sommé Meta de cesser cette collecte non consentie, et prépare une plainte formelle si l’entreprise ne recule pas. Une action collective à grande échelle, avec à la clé une compensation de 500 euros par utilisateur lésé, pourrait théoriquement coûter plus de 130 milliards d’euros à Meta. Bien sûr, ce chiffre est avant tout symbolique, mais il illustre le potentiel de contentieux massif lié à ce type de manquement.
« Un gouffre réglementaire entre l’Europe et les États-Unis »
Cette controverse met en lumière une fracture plus profonde : l’opposition de modèles entre l’Europe, soucieuse de réguler fermement l’usage des données personnelles, et les États-Unis, où les entreprises technologiques jouissent encore d’une large latitude. Outre-Atlantique, aucune législation fédérale équivalente au RGPD n’impose à Meta de recueillir un consentement explicite pour un tel usage. Des États comme la Californie ont adopté des lois sur la vie privée (CCPA/CPRA), mais celles-ci restent bien moins strictes que les règles européennes.
Le déséquilibre est d’autant plus problématique que les données collectées en Europe alimentent des systèmes IA utilisés globalement, y compris sur des marchés où les utilisateurs n’ont aucun recours. Cela soulève une question fondamentale : un acteur économique mondial peut-il construire une IA « universelle » en s’appuyant sur des standards légaux hétérogènes ? Et comment garantir le respect des normes européennes lorsque les traitements sont répartis entre plusieurs juridictions ?
Les tensions croissantes entre l’Union européenne et les plateformes numériques américaines sont d’ailleurs visibles sur plusieurs fronts : DMA, DSA, RGPD, DGA… Ces règlements cherchent à encadrer des pratiques commerciales perçues comme prédatrices, ou au minimum déconnectées des attentes européennes en matière de souveraineté numérique. Le cas Meta devient ainsi emblématique d’un bras de fer plus large sur le contrôle des données à l’ère de l’intelligence artificielle.
La stratégie de Meta, si elle venait à se généraliser, ouvrirait une brèche préoccupante dans la protection des données en Europe. Si l’intérêt légitime devient une porte d’entrée pour entraîner des modèles IA à grande échelle sans consentement, alors c’est tout l’édifice du RGPD qui vacille. Et ce n’est pas seulement une question juridique : c’est aussi une affaire de confiance. Les utilisateurs européens sont de plus en plus sensibles à l’usage de leurs données, notamment depuis l’émergence des IA génératives, perçues comme puissantes, opaques, et difficilement contrôlables.
« Peut-on construire une IA éthique sans transparence sur les données qui l’alimentent ? »
Ce que révèle cette affaire, c’est un besoin urgent de repenser les pratiques de transparence, de traçabilité et de gouvernance des données dans l’IA. L’usage massif de données personnelles pour entraîner des modèles doit faire l’objet d’un débat public, pas d’une simple mise à jour de conditions d’utilisation. La légitimité d’un traitement ne peut plus reposer sur des bases implicites, ni sur une acceptation passive de la part des utilisateurs. Il faut passer d’une logique d’exploitation silencieuse à une logique de responsabilisation partagée.
La réaction de la Commission européenne ne s’est d’ailleurs pas fait attendre. À travers plusieurs canaux officiels, elle a rappelé que les entreprises, quelles qu’elles soient, ne peuvent invoquer l’innovation technologique pour affaiblir les droits fondamentaux. Récemment, des responsables européens ont même averti qu’aucune pression politique — y compris celle de Washington — ne les ferait reculer sur les exigences du RGPD, du DSA ou des futures réglementations sur l’IA. En toile de fond, l’élection présidentielle américaine de 2024 a ravivé les tensions transatlantiques : certains membres de l’administration Trump se sont exprimés ouvertement contre ce qu’ils perçoivent comme une “surréglementation européenne nuisible aux intérêts américains”. L’Europe, de son côté, campe sur une ligne ferme : les normes européennes ne sont pas négociables, surtout quand il s’agit de droits fondamentaux.
Mais cette affaire Meta pourrait bien constituer un précédent. Si les régulateurs européens acceptent une telle interprétation de l’intérêt légitime, d’autres entreprises suivront. Et si au contraire une action exemplaire est engagée, elle pourrait redéfinir les règles du jeu pour l’ensemble des acteurs de l’IA. Le débat est donc loin d’être clos. Il dépasse Meta, dépasse le RGPD, et interroge notre capacité collective à encadrer les nouvelles technologies tout en protégeant ce que l’Europe considère comme non négociable : la dignité numérique des citoyens.
