Whitebridge AI est accusé d'être illégal, la vente de faux avertissements sur le « contenu politique dangereux » suscite la controverse.

La société lituanienne d'IA Whitebridge AI a été accusée par l'organisation de protection de la vie privée de l'UE Noyb de violer plusieurs articles du RGPD, en vendant des rapports de réputation contenant de fausses alertes sur des “contenus sexuels” et “politiques dangereux”, exigeant des utilisateurs de payer pour les consulter et empêchant les corrections par une “signature électronique”, un modèle commercial intimidant qui suscite des controverses sur la vie privée.

Whitebridge AI Rapport sur le modèle commercial : révélation de la monétisation des données par la peur

Whitebridge AI, basé en Lituanie, est en proie à une tempête de confidentialité en raison de ses allégations de vente de « rapports de réputation » fondés sur la collecte illégale de données et de désinformation par l'IA. L'organisation de défense de la vie privée basée en Autriche, Noyb, a demandé à l'Autorité nationale de protection des données de Lituanie d'interdire à Whitebridge AI « de traiter les données personnelles collectées et les informations fausses générées par l'IA ».

Whitebridge AI propose deux services basés sur l'intelligence artificielle :

Service de rapport de réputation : génère un rapport détaillé décrivant l'état en ligne d'une personne, y compris les publications sur les réseaux sociaux, les images, les articles de presse et d'autres empreintes numériques.

Service de surveillance en temps réel : Suivi continu des activités en ligne des cibles, notification immédiate des utilisateurs payants en cas de tout changement.

Ce modèle commercial n'est pas en soi novateur - des services similaires de « gestion de la réputation numérique » existent en Europe et aux États-Unis depuis des années. Cependant, la particularité rapportée par Whitebridge AI réside dans sa stratégie de « menacer puis monétiser » : selon les documents de plainte de Noyb, les rapports générés par la société contiennent de faux avertissements sur des « contenus politiques nus » et « dangereux », créant intentionnellement un sentiment d'anxiété, puis demandant aux utilisateurs de payer pour voir le rapport complet ou pour apporter des corrections.

Lisa Steinfeld, avocate en protection des données chez Noyb, a déclaré sans détour : « Le modèle commercial de Whitebridge AI est très malsain, visant à intimider les gens pour les amener à payer pour des données collectées illégalement. Selon la législation de l'Union européenne, les personnes ont le droit d'accéder gratuitement à leurs données. »

Noyb dévoile trois violations majeures du GDPR

Le document de plainte soumis par Noyb (PDF) accuse Whitebridge AI de violer plusieurs dispositions essentielles du Règlement général sur la protection des données (RGPD) de l'Europe, y compris les articles 5, 6, 9, 12, 14, 15 et 16. Ces dispositions couvrent les bases légales du traitement des données, la protection des catégories particulières de données, les obligations de transparence, le droit d'accès et le droit de rectification, entre autres principes fondamentaux.

Source de données illégale : médias sociaux non « clairement publics »

Whitebridge AI déclare sur son site : « Nous respectons pleinement le RGPD, garantissant que vos données personnelles sont protégées et traitées de manière transparente. Nous ne collectons que des informations publiques, vous avez le droit d'accéder à, de rectifier, de supprimer et de limiter le traitement de vos données. »

Cependant, Noyb a répondu que la plupart des informations dans le rapport de Whitebridge AI semblent provenir de sites de médias sociaux ou de recherches sur ces sites - et la jurisprudence européenne a déjà clairement établi que ces données ne relèvent pas de la catégorie des « manifestement mises à disposition du public », qui est le seuil clé pour le traitement des données personnelles sensibles selon l'article 9 du RGPD.

Le cœur de ce litige juridique réside dans la définition des « données publiques » :

Position de Whitebridge AI : Toute information trouvée sur Internet est “publique” et peut donc être librement collectée et utilisée à des fins commerciales.

Jurisprudence de la Cour de l'UE : Même si les informations sont techniquement accessibles, cela ne signifie pas que la personne concernée a l'intention de les “rendre manifestement publiques” pour un usage commercial par des tiers quelconques. Les publications sur les réseaux sociaux ont généralement un public limité (amis, abonnés, etc.) et ne sont pas publiées sans limites pour le monde entier.

En 2023, la Cour de l'Union européenne a souligné dans plusieurs affaires que les données « manifestement rendues publiques » visées par l'article 9, paragraphe 2, point e) du RGPD doivent être des informations que la personne concernée a clairement l'intention de rendre publiques auprès d'un public indéterminé. Cela signifie que :

Publication visible uniquement par les amis sur Facebook : pas clairement publique

Tweet publié sur Twitter : Peut sembler évident, mais il est toujours nécessaire d'évaluer la légalité de l'utilisation commerciale.

CV professionnel sur LinkedIn : zone grise, dépend des paramètres de confidentialité de l'utilisateur

Whitebridge AI a manifestement adopté l'interprétation la plus laxiste, considérant toutes les données accessibles comme “publiques”, une pratique qui va à l'encontre de l'esprit de la jurisprudence de la Cour de l'Union européenne.

Contenu généré par une IA fictive : Avertissement sur la nudité et la politique

Noyb a représenté deux plaignants anonymes qui ont soumis des demandes en vertu de l'article 15 du RGPD (cet article confère aux individus le droit d'accéder à leurs propres données), mais n'ont reçu aucune réponse. Noyb a ensuite acheté les rapports Whitebridge AI de ces plaignants et a découvert que les rapports “contiennent des avertissements mensongers sur des contenus 'nus' et 'politiques dangereux'.”

Cette découverte révèle un problème grave concernant le contenu généré par l'IA :

Problème d'illusion (Hallucination) de l'IA : Les modèles d'IA peuvent générer des conclusions complètement fausses basées sur des fragments de données non pertinents. Par exemple, si quelqu'un partage une photo de vacances à la plage sur les réseaux sociaux, l'IA peut à tort la marquer comme “dénudée”.

Conception malveillante possible : Plus inquiétant encore, ces fausses alertes peuvent ne pas être des défauts techniques, mais plutôt une stratégie commerciale — en créant des étiquettes négatives sensationnelles, incitant les utilisateurs à payer pour voir les détails ou demander leur suppression.

Risques de diffamation : Si ces rapports mensongers sont achetés par des employeurs, des compagnies d'assurance ou d'autres tiers, cela pourrait causer des dommages professionnels et personnels graves à la personne concernée.

L'article 5, paragraphe 1, point d) du RGPD exige que le traitement des données soit « exact » et, si nécessaire, maintenu à jour. Le contenu faux dans le rapport de Whitebridge AI enfreint manifestement ce principe.

Piège de suppression payante : violation du droit d'accès gratuit

Lorsque le plaignant tente de corriger son rapport en vertu de l'article 16 du RGPD, Whitebridge AI exige une «signature électronique qualifiée» pour exécuter la demande - Noyb souligne clairement qu'il n'existe pas de telle exigence dans le droit de l'Union européenne.

GDPR Article 12, paragraph 5 stipulates clearly: “The information and actions taken in accordance with Articles 15 to 22 shall be provided free of charge.” This means:

Accéder à ses propres données : doit être gratuit

Correction des données erronées : doit être gratuit

Supprimer des données inappropriées : doit être gratuit

L'exigence d'une « signature électronique qualifiée » constitue un obstacle technique. Dans l'Union européenne, une signature électronique qualifiée nécessite un certificat numérique délivré par un organisme certificateur, dont le coût peut atteindre plusieurs dizaines à plusieurs centaines d'euros, et le processus est complexe. Cette exigence transforme en réalité un « droit gratuit » en un « droit payant ».

Plus grave encore, ce type de conception pourrait créer un cycle vicieux :

1. L'utilisateur découvre que le rapport de Whitebridge AI contient des informations négatives fausses.

2. L'utilisateur demande une correction gratuite, mais on lui demande de fournir une signature électronique coûteuse.

3. L'utilisateur est contraint d'abandonner la correction ou est incité à acheter le « service de gestion de la réputation » de l'entreprise.

L'entreprise tire profit de l'anxiété de la fabrication

Règlement GDPR de l'UE contre le scraping de données par l'IA

L'affaire Whitebridge AI met en lumière le conflit fondamental entre la pratique des données en vertu du RGPD et l'ère de l'IA. Voici les principales dispositions du RGPD concernées par cette affaire et leur signification dans le contexte de l'IA :

Article 5 (Principes de traitement des données) : Il est exigé que le traitement des données soit légal, équitable, transparent et précis. Les avertissements faux générés par l'IA contreviennent au principe de “précision”, tandis que le processus de collecte non transparent viole le principe de “transparence”.

Article 6 (Base légale) : Tout traitement de données doit avoir une base légale, telle que le consentement, un contrat, une obligation légale ou un intérêt légitime. Whitebridge AI affirme agir sur la base de « l'intérêt légitime », mais en l'absence du consentement de l'utilisateur et en cas de préjudice évident aux intérêts de l'utilisateur, cette base est difficile à établir.

Article 9 (Données Sensibles) : Il est interdit de traiter des données révélant la race, les opinions politiques, les croyances religieuses, l'orientation sexuelle, sauf si des exceptions spécifiques s'appliquent. L'étiquette « contenu politique dangereux » peut impliquer des inférences sur des opinions politiques, tandis que l'avertissement « nudité » peut impliquer des sous-entendus, les deux relevant de la catégorie des données sensibles.

Article 12 et 14 (Transparence et obligation d'information) : Le responsable du traitement des données doit informer proactivement le sujet des données que ses données sont en cours de traitement. Les plaignants de Noyb n'ont jamais reçu de notification de Whitebridge AI, et ce n'est que lorsqu'ils ont acheté le rapport de manière proactive qu'ils ont découvert que leurs données étaient traitées.

Article 15 (Droit d'accès) : Les individus ont le droit d'obtenir gratuitement la confirmation et une copie du traitement de leurs données. Le modèle de paiement de Whitebridge AI viole directement ce droit fondamental.

Article 16 (Droit de rectification) : Toute personne a le droit de demander la rectification de données inexactes. L'imposition d'obstacles à la signature électronique prive en réalité ce droit.

L'accumulation de violations de ces termes montre que le modèle commercial de Whitebridge AI est totalement contraire à l'esprit fondamental du RGPD - qui est d'accorder aux individus le contrôle de leurs données.

Réponse officielle de Whitebridge AI : mettre l'accent sur la légalité mais de nombreux doutes subsistent

Après la soumission de cet article, un porte-parole de Whitebridge AI a fourni une déclaration pour défendre les pratiques de l'entreprise : « WhiteBridge AI attache une grande importance à la protection des données et à la vie privée. Toutes les données personnelles traitées par notre entreprise sont uniquement collectées à partir de sources publiques et ne sont utilisées que pour des fins légales et clairement définies. Nous tenons à souligner que WhiteBridge AI ne collecte ni ne stocke proactivement aucune donnée personnelle. »

Cette déclaration souligne plusieurs affirmations clés :

Mode de traitement passif : « Le traitement des données n'a lieu qu'après réception d'une demande de rédaction de rapport concernant une personne spécifique de la part du client » - cela signifie que l'entreprise prétend ne pas maintenir de base de données permanente et ne récupère les données que lorsqu'il y a une demande payante.

Politique de suppression de 30 jours : « WhiteBridge AI respecte strictement les réglementations sur la rétention des données, tous les rapports publiés seront supprimés après 30 jours » — cela semble être en conformité avec le principe de minimisation des données du RGPD.

Aucune déclaration de base de données : « WhiteBridge AI n'enregistrera aucune information personnelle sans demande légale » – cherchant à se démarquer des courtiers de données traditionnels.

Cependant, ces défenses présentent des doutes évidents :

Définition floue de la source publique : La société n'a pas clarifié sa définition spécifique de « source publique » et comment elle s'assure que ces sources respectent le critère de « manifestement public » de l'article 9 du RGPD.

Problème du mode passif : même en traitement à la demande, l'obligation de notification (article 14) et le droit d'accès (article 15) doivent être respectés. Il est évident que le plaignant de Noyb n'a pas reçu de notification et que le droit d'accès est bloqué par un mur payant.

Vulnérabilité supprimée en 30 jours : Le rapport peut être téléchargé et diffusé plusieurs fois dans un délai de 30 jours, et la suppression de l'original ne peut pas éliminer les dommages causés. Plus important encore, si le rapport contient de fausses informations, la durée de 30 jours est suffisante pour causer de graves dommages à la réputation.

Contradiction de l'absence de déclaration de base de données : Si l'entreprise n'a vraiment aucune base de données, comment peut-elle générer rapidement des rapports après avoir reçu une demande ? Cela implique que l'entreprise a peut-être préétabli un certain type d'index ou de mécanisme de cache.

La société a également répondu aux accusations de Noyb, estimant que « les allégations concernant un “modèle commercial déloyal” et la collecte et la vente illégales de données sont sans fondement », et a déclaré qu'elle « était prête à engager un dialogue constructif ». Cependant, en ce qui concerne les accusations spécifiques telles que la création de contenu généré par l'IA de manière frauduleuse et les exigences de signature électronique, la déclaration n'a pas fourni d'explications substantielles.

Votre réputation numérique est en train d'être réécrite par l'IA

L'affaire Whitebridge AI n'est pas un événement isolé, mais révèle une crise systémique de la gestion des identités numériques à l'ère de l'IA.

Il y a un an, Stacey Edmonds, cofondatrice et PDG de l'organisation de cybersécurité australienne Dodgy or Not?, a publié un post sur LinkedIn exprimant ses inquiétudes concernant le service de collecte de données de Whitebridge AI. Edmonds a écrit qu'elle avait contacté Whitebridge AI et l'Autorité nationale de protection des données de Lituanie pour exprimer ses préoccupations. Cependant, ses demandes ne semblent pas avoir eu d'impact sur les pratiques de l'entreprise.

Cette incapacité de réglementation met en évidence deux problèmes :

Difficultés d'application de la loi transfrontalière : Whitebridge AI est enregistré en Lituanie, mais sert des utilisateurs du monde entier. Même si l'autorité de régulation d'un pays déclare que cela est illégal, l'application de la loi reste confrontée à des défis de compétence judiciaire.

Ressources de régulation insuffisantes : L'Autorité nationale de protection des données de Lituanie pourrait manquer de ressources suffisantes pour enquêter en profondeur sur des affaires complexes de données liées à l'IA. Bien que le RGPD confère des pouvoirs importants, la capacité d'exécution dépend de l'engagement des États membres.

Peut-être que la plainte officielle de Noyb recevra plus d'attention. En tant qu'une des organisations de défense de la vie privée les plus actives d'Europe, Noyb a réussi à pousser à des sanctions majeures contre des géants technologiques tels que Facebook et Google. Si les régulateurs lituaniens prennent des mesures contre Whitebridge AI, cela pourrait établir un précédent pour d'autres pays de l'UE, afin de freiner des modèles commerciaux similaires de “monétisation par intimidation AI”.

Pour les utilisateurs ordinaires, la leçon de ce cas est la suivante : votre identité numérique peut être analysée, étiquetée, voire déformée par des systèmes d'IA à votre insu. Effectuer régulièrement des recherches sur votre nom, configurer les paramètres de confidentialité de vos réseaux sociaux et partager prudemment des informations personnelles ne sont plus seulement de bonnes pratiques de protection de la vie privée, mais également une ligne de défense nécessaire contre la manipulation numérique de la réputation alimentée par l'IA.