Les données concernant une personne appartiennent à cette personne -- juridiquement, pas seulement moralement.
Toute utilisation commerciale de données personnelles par des systèmes d'IA nécessite un consentement actif et révocable. La vente sans consentement doit être punissable.
Les grands modèles d'IA -- GPT-4, Gemini, Claude, Llama -- ont été entraînés avec des milliards de textes, d'images et de vidéos. Une part considérable de ces données d'entraînement provient d'Internet : publications dans des forums, articles de blog, photos, commentaires -- écrits par des personnes qui n'ont jamais consenti à ce que leurs mots servent de matériel d'entraînement pour un modèle de langage [1].
Shoshana Zuboff a décrit ce modèle comme le capitalisme de surveillance : l'expérience humaine est extraite comme matière première gratuite et transformée en prédictions comportementales qui sont échangées sur des marchés de prédiction [2].
L'ampleur de la collecte commerciale de données échappe à la plupart des gens. Les entreprises recueillent systématiquement :
À partir de ces données individuelles naissent des profils d'utilisateurs détaillés : personnalité, orientation politique, état de santé, situation financière, faiblesses personnelles. Les personnes concernées n'en savent généralement rien -- ou ont « consenti » en cliquant sur une bannière de cookies.
L'objectif est le profit commercial : publicité ciblée, tarification dynamique (des prix différents pour des utilisateurs différents), et la vente de prédictions comportementales à des tiers.
Les mêmes profils créés à des fins publicitaires sont parfaitement adaptés à la manipulation politique. Le micro-ciblage basé sur l'IA permet d'atteindre les électrices et électeurs en fonction de vulnérabilités spécifiques -- craintes financières, méfiance envers les institutions, préoccupations de santé -- avec des messages sur mesure.
Les conséquences sont graves :
Le scandale Cambridge Analytica de 2018 a montré ce qu'il était possible de faire avec les profils Facebook de 87 millions de personnes [9]. Depuis, les méthodes n'ont pas disparu -- elles sont devenues plus sophistiquées.
La protection des données n'est pas un problème purement personnel. Quiconque possède des profils détaillés de millions de personnes détient un pouvoir sur ces personnes -- et donc sur la démocratie. (Voir aussi : Risques pour la démocratie)
Il existe un conflit d'intérêts fondamental : les entreprises d'IA promettent la protection des données tout en gagnant de l'argent grâce à l'utilisation de ces mêmes données. L'autorégulation ne fonctionne pas lorsque le modèle commercial repose sur la violation de la vie privée.
Des mesures juridiques de protection efficaces font largement défaut -- non pas parce qu'elles seraient techniquement impossibles, mais parce que l'industrie technologique dispose d'une influence politique considérable. Aux États-Unis, les entreprises technologiques ont dépensé plus de 100 millions de dollars en lobbying en 2024 [10].
Face à l'influence politique massive de l'industrie technologique, qui bloque activement la régulation, un moratoire sur les nouveaux centres de données est discuté comme option pragmatique. La logique : si l'industrie croît plus vite que la régulation, la croissance doit être ralentie jusqu'à ce que les institutions démocratiques aient rattrapé leur retard.
Un tel moratoire permettrait de :
La loi révisée sur la protection des données (LPD révisée), en vigueur depuis le 1er septembre 2023, renforce les droits des personnes concernées. Elle exige transparence, limitation de la finalité et proportionnalité [3]. Toutefois :
Le changement de paradigme : les données qui identifient ou concernent une personne ne sont pas seulement dignes de protection -- elles appartiennent à cette personne. Tout comme une maison appartient à son propriétaire, les données biométriques, les données de santé, les profils de déplacement et les traces numériques appartiennent à la personne qui les génère.
Plus de « opt-out » (vous devez activement vous opposer), mais « opt-in » (vous devez activement consentir). Chaque utilisation commerciale nécessite un consentement séparé et compréhensible -- non pas caché dans des conditions générales de 40 pages, mais en langage clair, avec indication concrète de la finalité d'utilisation.
Si quelqu'un vend votre maison sans votre consentement, c'est une escroquerie. Si quelqu'un vend vos données sans votre consentement, c'est aujourd'hui... légal. Cette asymétrie doit prendre fin. La vente de données personnelles sans consentement explicite et révocable doit être ancrée comme infraction pénale dans le Code pénal (CP).
Propriété légale des données : Ancrage de la propriété des données personnelles dans le CC (par analogie avec le droit des biens).
Consentement actif : Chaque utilisation commerciale nécessite un opt-in. Les consentements pré-cochés sont nuls.
Droit de révocation : Les consentements doivent pouvoir être révoqués à tout moment, gratuitement et sans justification.
Punissabilité : La vente ou la transmission de données personnelles sans consentement est qualifiée de délit dans le CP.
Portabilité des données : Chaque personne a le droit d'exporter ses données dans un format lisible par machine depuis toute plateforme.
Droit à l'effacement des modèles d'IA : Lorsqu'une personne révoque son consentement, ses données doivent être supprimées de manière vérifiable des jeux de données d'entraînement.
Le Règlement général sur la protection des données (RGPD) de l'UE a établi des normes depuis 2018 : droit à l'oubli, portabilité des données, amendes élevées [5]. La LPD révisée suisse s'en inspire, mais reste plus faible dans l'application.
Le AI Act de l'UE complète : les systèmes d'IA doivent documenter quelles données d'entraînement ont été utilisées -- un premier pas vers la transparence, mais pas encore de propriété [6].
[1] Bender, Emily et al. : On the Dangers of Stochastic Parrots. FAccT 2021.
[2] Zuboff, Shoshana : The Age of Surveillance Capitalism. PublicAffairs, 2019.
[3] Loi fédérale sur la protection des données (LPD révisée), en vigueur depuis le 1er septembre 2023.
[5] Règlement général sur la protection des données (RGPD), Règlement UE 2016/679.
[6] AI Act de l'UE, Règlement UE 2024/1689, Art. 10 (Données et gouvernance des données).
[7] Zuboff, Shoshana : The Age of Surveillance Capitalism, Chap. 8 : Rendition. PublicAffairs, 2019.
[8] Hao, Karen : How Facebook got addicted to spreading misinformation. MIT Technology Review, 2021.
[10] OpenSecrets : Lobbying Spending Database, Technology Sector, 2024.