L’application d’édition de photos sud-coréenne, EPIK AI, connaît une forte popularité sur Instagram et TikTok, faisant partie des applications les plus téléchargées du moment.
Depuis octobre 2023, on a pu constater sur les réseaux sociaux un retour en force des années 1990 avec sa fonctionnalité Yearbook AI.
Il s’agit d’une intelligence artificielle générative, qui, après que l’utilisateur lui a soumis entre huit et douze photos, génère une soixantaine d’images telles qu’elles auraient été prises pour le fameux livre de promotion américain.
Paraissant inoffensive, cette dernière n’est cependant pas dénuée de risques, comme le souligne la Commission nationale de la protection de la vie privée aux Philippines.
Une « transparence » contradictoire
Lors du téléchargement d’EPIK AI, sur la page de la plateforme Google Play, il est indiqué que l’application ne partage aucune donnée avec des tiers. Ainsi, elle prétend respecter la confidentialité des utilisateurs afin de les rassurer et de gagner leur confiance.
Cependant, après avoir téléchargé l’éditeur, la politique de confidentialité révèle une réalité différente avec l’apparition de compagnies tierces. En effet, dans le paragraphe relatif aux informations collectées, il est inscrit que l’application peut utiliser des technologies pour collecter automatiquement des données analytiques. Cette dernière utiliserait un outil tiers, partagerait des données de localisations avec des marchands tiers à des fins commerciales ou encore autoriserait des sociétés tierces à collecter des informations par divers intermédiaires (cookies, pixels…).
Dans le centre d’aide, Google indique que dans certains cas, les développeurs n’ont pas forcément besoin de déclarer les données comme étant partagées, quand bien même, elles le sont. Pour découvrir les différents cas, il faut ouvrir un menu avec différents volets. L’information reste accessible, mais nécessite plus d’investigation de la part de l’utilisateur.
Ces informations sèment ainsi la confusion et soulèvent des préoccupations quant à leur accessibilité et leur transparence. Il est troublant de constater une discordance entre les affirmations rassurantes présentées sur la plateforme d’application et la politique de confidentialité.
L’ambiguïté du traitement de données sensibles
Il est important de souligner que l’application rassemble des données biométriques (reconnaissance faciale) considérées comme pouvant être des données personnelles sensibles. Ces données sont essentielles pour appliquer divers filtres et maquillages en fonction de la position du profil. Selon la CNIL, on considère des données biométriques comme sensibles dès lors qu’elles “sont utilisées aux fins d’identifier une personne de manière unique”. Or, la politique de confidentialité affirme qu’elles ne les utilisent pas en ce sens et spécifie les traiter immédiatement.
EPIK a également indiqué que certaines des fonctionnalités (filtres, effets) enverront, stockeront et traiteront ces informations vers les serveurs qu’ils contrôlent ou ceux dont ils ont la pleine possession.
Toujours selon la politique de confidentialité, ces informations seraient supprimées dès lors que l’objectif initial de la collecte n’existe plus, ou dans les trois ans suivant la dernière interaction avec l’application…
Paradoxalement, la politique de confidentialité inscrit de manière ambiguë que l’utilisateur peut éviter la collecte de certaines de ses données en modifiant les paramètres de son appareil. Elle énonce des instructions détaillées pour les utilisateurs qui souhaitent modifier l’accès à ces données. Le consentement de l’utilisateur est déduit, du fait qu’il ne s’y est pas opposé. Ainsi, on parle d’une approche d’exclusion (opt-out) pour la gestion des données, ce qui va à l’encontre de l’approche d’inclusion (opt-in) préconisée par de nombreuses réglementations, notamment européennes.
Vers une confidentialité éclairée
La sensibilisation croissante des utilisateurs européens à la gestion de leurs données souligne la nécessité d’une transparence et d’une authenticité dans leur traitement. Ces derniers ont le droit d’être pleinement informés sur l’utilisation, le partage et la protection de leurs données. Pour établir la confiance dans les technologies, une communication claire, des informations précises, et un consentement éclairé, éventuellement facilité par le legal design, sont essentiels.
Dans le nouveau paradigme de la vie numérique, il est impératif d’utiliser toutes les applications, y compris EPIK AI, de manière responsable, en prenant en considération les différents traitements pouvant être effectués. Bien que l’utilisateur paye, pour la génération d’images, il reste malgré tout le produit et ses données seront traitées à des fins marchandes.
Ce changement de perspective initié par l’Union Européenne vise à répondre aux préoccupations croissantes concernant la protection des données personnelles. Afin de ne pas perdre le marché européen, les puissances étrangères se doivent de se plier à la réglementation européenne en ce sens et de s’inspirer du droit en vigueur, non sans écueil.
Souhaitant protéger les institutions européennes ciblées par les cyberattaques, l’installation de l’application chinoise Tiktok est prohibée sur les téléphones professionnels des salariés des diverses institutions de l’Union Européenne ainsi que dans certains États. Aucune raison n’est clairement exprimée, si ce n’est des craintes concernant la sécurité des données, des suspicions d’espionnage.
Plusieurs applications sont d’ailleurs dans le viseur du commissaire européen au marché intérieur. Face à la prolifération de contenus illicites, en raison de l’actualité en Palestine, il leur rappelle leur obligation de se conformer aux règlements européens, en particulier le règlement européen sur les services numériques (DSA).
Pourrait-on imaginer une généralisation de cette protection, ou du moins une harmonisation, quant aux informations transmises et à la véracité de ces dernières ?
Emma Wack Wendling
M2 Cyberjustice – Promotion 2023/2024
Sources :