Mistral AI est souvent perçu comme une alternative européenne aux géants américains ou chinois comme OpenAI ou Deepseek, et comme une IA conforme au RGPD et protectrice de la vie privée.

La startup française, au cœur de l’actualité pour avoir fait l’objet d’une plainte auprès de la CNIL pour violation de certaines dispositions du RGPD.

Sur quoi porte la plainte ?

Un avocat inscrit au barreau de Montpellier dépose une plainte contre la startup française auprès de la CNIL pour violation de l’article 12 du Règlement général sur la protection des données RGPD.

En l’espèce, il dénonce une collecte abusive, voire illégale, de données à caractère personnel des utilisateurs de la version gratuite du nouvel agent conversationnel (chatbot) de Mistral commercialisé sous le nom de « LeChat ».

Il s’est avéré que Mistral, a recours à la collecte de données à caractère personnel de ses utilisateurs pour alimenter son IA générative et qu’elle conditionne l’exercice du droit d’opposition (ou opt out) au traitement des données des utilisateurs au paiement d’une somme d’argent, et ce en violation de l’article 12.5 du RGPD.

Alors que cet article dispose qu’aucun paiement ne peut être exigé pour l’exercice du droit d’opposition des personnes dont les données sont traitées (sauf en cas de demandes excessives ou abusives), Mistral conditionne l’exercice de ce droit à l’abonnement des utilisateurs à la formule pro du service, ce qui équivaut à un montant mensuel de 15 euros.

Que répond Mistral face à ces accusations ?

Mistral dément toutes les accusations relatives au traitement abusif des données de ses utilisateurs et aux manquements aux dispositions du RGPD. De plus, un porte-parole rassure les utilisateurs que l’exercice de l’opt out a toujours été possible, même pour les utilisateurs du service gratuit, tout en rappelant certaines dispositions des conditions générales d’utilisation qui stipulent que Mistral tente, dans la mesure du possible, de dé-identifier ou d’anonymiser les données d’entrée des utilisateurs avant des les utiliser pour l’alimentation et l’entrainement de l’IA.

La startup a également mise à jour certaines dispositions de ses conditions générales d’utilisations afin d’apporter plus de clarté à l’exercice, par les utilisateurs, de leur droit d’opposition au traitement de leur données à caractère personnel. Ces dispositions ont vocation à informer les personnes concernées de l’existence et des modalités d’exercice de ce droit (envoi d’un courriel et adresse mail de la personne concernée).

Toutefois, l’avocat auteur de la plainte dénonce toujours le manque de clarté au niveau des modalités d’exercice du droit d’opposition, en soulignant qu’« écrire un mail n’est pas donné à tout le monde » et que la politique de confidentialité ne donne pas suffisamment d’informations concernant le contenu du courriel qui doit être envoyé. Ce manque de clarté constituerait selon lui une violation de l’article 12.2 du RGPD, qui dispose que le responsable de traitement doit faciliter l’exercice des droits conférés par le RGPD à la personne dont les données sont traitées (articles 15 à 21 RGPD), ce qui inclut le droit d’opposition (article 21 RGPD).

Affaire à suivre….

Un horizon d’optimisme ?

Bien que cette plainte ne soit pas la première en matière de violation de données personnelles par des IA génératives (on note notamment la décision de l’autorité de contrôle italienne contre OpenAI) et sans doute pas la dernière, un horizon d’optimisme règne depuis le Sommet de l’IA la semaine dernière.

En effet, à l’occasion de ce sommet, et en plus de la sécurité et de la transparence assurés par l’entrée en vigueur de certaines dispositions du Règlement IA, de nombreuses autorités de contrôle des données personnelles de par le monde (France, Royaume-Uni, Irlande, Australie, …)  ont réaffirmé leurs engagements afin d’œuvrer vers la mise en place d’une IA plus protectrice de la vie privée.

Claudia Weberavocat fondateur ITLAW Avocats et Nadim Hoyeck, juriste stagiaire, ITLAW Avocats

 

Et vous ? Où en êtes-vous ?

Besoin d’aide pour la mise en place de votre projet d’IA au sein de votre organisation ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 30 ans en matière de nouvelles technologies, d’innovation, de propriété intellectuelle, sécurité et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des  données personnelles, de projets informatiques  complexesde  contrats, d’innovation et de  propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes. 

Nous contacter