Tribunal de grande instance d’Amsterdam (Pays-Bas), 4 juillet 2024
La justice hollandaise a considéré que le « shadowban » est une prise de décision automatisée au sens du RGPD et a mis en demeure X d’informer les utilisateurs, notamment, sur l’existence de ce dispositif.
Un utilisateur de l’application « X » (anciennement Twitter) avait posté un message (tweet) sur le réseau social critiquant le « plan européen de lutte contre la pornographie ».
L’utilisateur a découvert qu’il avait fait l’objet d’une restriction de type « shadowban », pratique consistant à rendre invisible (ou moins visible) le compte et les messages/commentaires d’un utilisateur, sans que ce dernier en soit informé.
1. X a eu recours à un dispositif de « shadowban »
Souhaitant connaitre l’étendue et les raisons de ce « shadowban », l’utilisateur a exercé son droit d’accès auprès de X et a demandé, tout particulièrement, d’obtenir des informations sur (i) l’existence d’une prise de décision automatisée à son encontre et (ii) concernant la logique sous-jacente de la décision automatisée, ainsi que l’importance et les conséquences prévues de ce traitement.
En réponse, X n’a transmis qu’un message très général renvoyant à sa politique de confidentialité, puis, plusieurs mois plus tard, a admis que le système de détection automatique des tweets avait considéré que le tweet en question, notamment en raison de la présence du mot « pédopornographie », était susceptible d’enfreindre la politique de X en matière de lutte contre la maltraitance des enfants et que, en conséquence, son tweet avait fait l’objet d’une « restriction » (autrement dit, d’un « shadowban »).
2. Le « shadowban » est une prise de décision automatisée qui doit faire l’objet d’une information
Le tribunal de grande instance a considéré que « la décision de restreindre le compte [de l’utilisateur] est une décision automatisée » dès lors qu’elle « est prise par un système qui sélectionne certains mots et décide d’imposer une restriction sur cette base », peu importe que « les paramètres du système de détection aient été déterminés par des humains » tant que « la décision d’imposer une restriction n’implique pas d’intervention humaine ».
En conséquence, le tribunal a indiqué que X aurait du être transparent sur la prise de décision automatisée et fournir de manière proactive les information à ce sujet, en conformité avec l’article 13 du RGPD, à savoir : (i) l’existence d’une prise de décision automatisée, (ii) les informations utiles concernant la logique sous-jacente ainsi que (iii) l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Compte tenu de ce qui précède, et considérant que la première réponse de X à l’internaute n’était pas suffisante, le tribunal a mis en demeure X de répondre à la demande de droit d’accès de l’internaute en transmettant les informations ci-dessus listées, dans un délai de 1 mois et sous astreinte de 4000 € par jour de retard.