Des personnalités publiques, notamment des politiciens et des artistes, ont été confrontées à l’utilisation de leur image par des intelligences artificielles dans des contextes fictifs sur les réseaux sociaux. En 2019, le Monde titrait « Deepfakes : faut-il avoir peur de ces vidéos trafiquées ? ». [1] Quelques mois auparavant le Figaro prédisait que des chercheurs en machine learning animent de façon convaincante le visage de célèbres personnalités « Bonjour, je suis Mona Lisa » pourrait nous dire un jour le tableau de Léonard de Vinci, avec des mouvements réalistes ». [2]
Ce privilège n’en est plus un, fin mai 2025, Meta a modifié ses conditions d’utilisation pour entraîner ses systèmes d’intelligence artificielle. Quelques mois plus tard, les utilisateurs de ces réseaux découvrent avec surprise leur visage dans d’autres circonstances que celles dont il avait souhaité conserver le souvenir.
1°) En quelques clics, l’utilisateur des réseaux sociaux aurait quitté un système extrêmement protecteur.
Le droit français est très protecteur de l’image de soi . L’article 9 du Code civil dispose « Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé ».
Et la Cour de cassation a dit en 2007 que « toute personne, quel que soit son rang, sa naissance, sa fortune, ses fonctions présentes ou à venir a droit au respect de sa vie privée » (Chambre civile 1, 27 février 2007, 06-10.393, Publié au bulletin).
Une qualification pénale est même encourue pour « le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, le montage réalisé avec les paroles ou l’image d’une personne sans son consentement » par l’article 226-8 du Code pénal.
2°) L’accord de mai 2025 de l’autorité irlandaise de protection des données à Meta.
En mars 2024, Meta soumet un projet initial à l’autorité irlandaise de protection des données (The Data Protection Commission, DPC), sur des plans d’entraînement de ses modèles d’IA avec le contenu public des utilisateurs adultes européens.
L’autorité irlandaise saisit le Comité européen de protection des données (CEPD ou EDPB). [3]
En décembre 2024, le Comité européen de protection des données rend son Avis. [4]
Le 21 mai 2025, l’autorité irlandaise approuve le projet de Meta. Quelques jours plus tard, Méta débute l’entraînement sur les données européennes. Toutefois, cet accord est conditionné à différents mécanismes d’informations des utilisateurs sur les années 2024 et 2025, et du même coup, à une période de préavis prolongé, ainsi que la mise en place de formulaires d’opposition. Rendez-vous est enfin pris en octobre 2025 pour une étude d’évaluation.
3°) Un accord fragile qui repose sur l’intérêt légitime de Méta au sens de l’article 6.1.f du RGPD.
Cet accord repose sur l’intérêt légitime au sens de l’article 6.1.f du RGPD base juridique avancé par Meta, qui dispense du consentement de la personne concernée : « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
Cet accord se caractérise par sa fragilité.
Immédiatement, cet accord fait l’objet d’attaques judiciaires en Allemagne.
En mai 2025, si le Tribunal de Cologne (OLG Köln) rejette la demande d’injonction provisoire d’une entité des consommateurs (Verbraucherzentrale NRW, Centre des consommateurs de Rhénanie-du-Nord-Westphalie) contre Meta, la demande au fond serait toujours en cours.
En même temps, l’autorité allemande de protection des données aurait engagé sur la base de la procédure d’urgence de l’article 66 du RGPD, une action contre l’autorité irlandaise et l’entité irlandaise de Meta.
Différentes procédures seraient en cours dans d’autres pays européens sans que leur liste ait pu être établi à l’occasion de cet article. Le Comité européen de la protection des données connaitrait également des oppositions entre les différentes autorités nationales en charge de l’application du RGPD.
4°) Ceux et celles dont les traits se retrouvent sur des images générées par IA, nous disent tout autre chose que la prise en compte du seul intérêt légitime de Méta au sens de l’article 6.1.f du RGPD.
Revenons sur l’Avis du Comité européen de protection des données.
Le Comité européen de protection des données était sollicité sur des questions d’application générale qui présupposaient une anonymisation des données « (1) quand et comment un modèle d’IA peut être considéré comme « anonyme » ; (2) comment les responsables du traitement peuvent démontrer la pertinence de l’intérêt légitime comme base juridique dans les phases de développement et (3) de déploiement ; et (4) quelles sont les conséquences du traitement illicite des données personnelles dans d’un modèle d’IA sur le traitement ou le fonctionnement ultérieur du modèle d’IA ».
Avec ces premiers retours de personnes mécontentes de voir leurs traits sur des images générées par IA, cette anonymisation ou cette réduction du risque d’identification par le modèle d’IA de Meta ne seraient pas suffisantes.
Ce constat s’il était confirmé, remettrait en cause l’opportunité de l’Avis de décembre 2024 qui répondait essentiellement à la question de savoir si les responsables du traitement peuvent invoquer l’intérêt légitime comme base juridique appropriée pour le traitement effectué dans le cas de développement et du déploiement de modèles d’IA.
Pour évaluer le recours à l’intérêt légitime comme base juridique, l’Avis rappelait le test en trois étapes à suivre : (1) identifier l’intérêt légitime poursuivi par le responsable du traitement ou un tiers ; (2) analyser la nécessité du traitement au regard des finalités du ou des intérêts légitimes poursuivis (également appelé « test de nécessité ») ; et (3) vérifier que les intérêts ou les droits et libertés fondamentaux des personnes concernées ne prévalent pas sur le ou les intérêts légitimes (également appelé « test de mise en balance »).
À propos des personnes concernées, l’Avis prenait en compte les conséquences diverses, positives ou négatives, pour évaluer ces conséquences, y compris les éventuelles conséquences ultérieures au traitement par l’IA en rappelant que « ces mesures d’atténuation ne doivent pas être confondues avec les mesures que le responsable du traitement est légalement tenu d’adopter de toute façon pour garantir la conformité aux RGPD ».
Ces premiers retours d’expérience s’ils se confirmaient, conduiraient probablement à une remise en cause de la base juridique du seul intérêt légitime de Méta au sens de l’article 6.1.f du RGPD.
5°) Les phases de développement ou de déploiement des modèles IA comme celui de Meta nécessiteraient donc le consentement de l’utilisateur des réseaux sociaux.
Seraient donc à confronter aux exigences du RGPD les modalités des consentements sollicitées par Meta depuis mai 2025.
L’enjeu serait d’une grande importance pour tous les développeurs de modèle d’IA. Puisque la faculté d’opt-out prévue au 3°) de l’article 7 du RGPD, « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement », si elle ne remet pas en cause le traitement antérieur, c’est à la condition d’un« consentement initial compréhensible et aisément accessible, et formulée en des termes clairs et simples ».
Les millions d’utilisateurs d’Instagram, Facebook et WhatsApp pressés qu’ils étaient à voir les messages reçus, ont-ils valablement consenti au sens du RGPD aux phases de développement et de déploiement de ces modèles d’IA si les cases sur lesquelles ils ont cliqué, ne constituaient que des modalités d’atténuation de l’intérêt légitime de Meta ?
