Whitebridge AI : la vérification d'identité dans la mire du RGPD
Sommaire
Hésiter avant de conclure une transaction en ligne, quoi de plus normal dans notre société numérique moderne. Que ce soit sur Leboncoin, Marketplace ou Vinted, le doute s'installe : la personne de l'autre côté de l'écran est-elle vraiment qui elle prétend être ?Face à ce besoin croissant de sécurité, un outil nommé Whitebridge AI promet une solution miracle : dresser un profil complet d'une personne en quelques minutes seulement, grâce à l'intelligence artificielle.
Mais derrière cette promesse d'éradiquer les fraudes se cache une réalité technique troublante. Ce service est aujourd'hui au cœur d'une controverse européenne majeure, accusé de violer les lois sur la protection de la vie privée.
1. Allié anti-fraude... mais modèle économique "douteux"
Sur le papier, Whitebridge AI se présente comme un outil précieux. Le service est promu comme un moyen efficace de réaliser des vérifications d'antécédents, que ce soit pour un nouveau locataire ou propriétaire, un futur patron ou employé, ou simplement pour s'assurer de la fiabilité d'un vendeur en ligne. En collectant un maximum de données sur le web, l'IA vous fournit un rapport détaillé pour vous aider à prendre des décisions éclairées et à éviter les arnaques.
Cependant, cette vision est loin de faire l'unanimité. L'organisation européenne de défense de la vie privée, noyb ("None of Your Business"), a déposé une plainte officielle contre l'entreprise, dénonçant un modèle économique fondé sur l'exploitation des données personnelles.
"Whitebridge AI a un modèle commercial douteux, fondé sur la peur et l'ignorance" qu'a le grand public "des droits numériques"
Lisa Steinfeld, juriste chez noyb
2. Payer pour voir vos propres données (souvent fausses)
L'une des accusations les plus graves concerne le modèle de revenus de l'entreprise. En Europe, le Règlement Général sur la Protection des Données (RGPD) garantit à chaque citoyen le droit d'accéder gratuitement aux informations qu'une entreprise détient sur lui (Article 15 du RGPD). Whitebridge AI semble ignorer cette obligation fondamentale.
Pour consulter le "rapport de réputation" que l'outil a compilé sur vous, vous devez payer. L'entreprise utilise même des slogans publicitaires comme "this is kinda scary" ("c'est un peu effrayant") pour inciter les individus, inquiets, à acheter leurs propres données.
Pire encore, la fiabilité de ces rapports est sérieusement remise en question. Dans le cadre de sa plainte, noyb a acheté les rapports de plusieurs plaignants et y a découvert des avertissements graves mais totalement faux. Ces rapports signalaient par exemple la présence de "nudité sexuelle", de "contenu politique dangereux" ou encore d'informations sur de supposés "antécédents judiciaires", là où il n'y en avait aucun. Non seulement l'entreprise facture l'accès à des données souvent erronées, mais sa justification même pour les collecter repose sur une interprétation fragile et contestée du droit à la vie privée.
3. Le Mythe des données "publiques"
La principale ligne de défense de Whitebridge AI est que son service est "100% légal" car il ne fait que collecter des informations déjà "publiquement disponibles". L'argument est simple : si l'information est sur internet, elle est accessible à tous.
Cette affirmation est cependant contestée sur les plans juridique et technique. D'une part, une grande partie des données est obtenue par "scraping" (aspiration automatisée) de profils sur les réseaux sociaux. Cette pratique viole non seulement les conditions d'utilisation de ces plateformes, mais aussi leurs directives techniques explicites. Des géants comme Facebook, Instagram et LinkedIn utilisent des fichiers robots.txt pour interdire formellement aux robots d'indexer et de collecter des données, une barrière technique que Whitebridge AI ignore délibérément.
D'autre part, la Cour de Justice de l'Union Européenne (CJUE) a déjà statué dans une affaire (C-252/21) que le simple fait de publier une information sur un réseau social ne la rend pas "manifestement publique" au sens de la loi. Les preuves concrètes abondent : l'un des plaignants officiels dans l'affaire noyb a vu son compte Instagram privé, accessible uniquement à ses abonnés approuvés, être utilisé comme source pour son rapport. Un témoignage d'utilisateur sur Reddit établit un constat similaire, affirmant que le service a utilisé sa photo de profil Facebook alors que celle-ci était configurée comme privée.
4. L'obstruction systématique des droits des utilisateurs
Le RGPD ne se contente pas de donner un droit d'accès ; il offre aussi un droit de rectification (Article 16), permettant de corriger des informations incorrectes. Lorsque les plaignants, confrontés à de fausses accusations dans leurs rapports, ont tenté d'exercer ce droit, ils se sont heurtés à ce qui s'apparente à une entrave procédurale délibérée.
Whitebridge AI a refusé de traiter leurs demandes, exigeant une "signature électronique qualifiée" pour prouver leur identité. Or, la législation européenne ne requiert absolument pas une telle signature pour une simple demande de rectification de données. Sachant que la majorité des citoyens européens ne possèdent pas ce type de signature, cette exigence constitue une barrière efficace, conçue pour décourager et empêcher les utilisateurs de faire valoir leurs droits les plus fondamentaux.
"La quantité de données personnelles traitées par Whitebridge AI est effrayante, comme le reconnaît l'entreprise elle-même dans sa publicité. Ceci est rendu encore pire par le fait que Whitebridge AI ignore complètement les personnes concernées lorsqu'elles tentent d'exercer leurs droits."
Aitana Pallas, juriste chez noyb
5. Une version décentralisé sur la Blockchain
Alors que son modèle actuel est sous le feu des critiques, l'entreprise prépare déjà l'étape suivante, et elle est pour le moins surprenante. Un livre blanc révèle qu'une nouvelle entité, UAB Whitebridge Network, s'apprête à lancer un crypto-actif baptisé "WBAI Token". Cette nouvelle société partage la même adresse que sa société mère, UAB Whitebridge ai, au Krivių str. 5, à Vilnius, en Lituanie, ce qui rend les manœuvres de l'entreprise plus tangibles.
L'objectif ? Alimenter un "réseau décentralisé d'agents Whitebridge AI" dédié à "l'intelligence des données sur les personnes". Dans ce futur système, les utilisateurs paieront avec des jetons WBAI pour obtenir les mêmes types de rapports générés par l'IA. L'ironie est frappante : au moment même où l'entreprise est critiquée pour son manque de transparence et de responsabilité, elle construit une version décentralisée qui pourrait rendre la régulation et les recours des utilisateurs encore plus complexes.
Conclusion : La vérification à quel prix ?
Le cas de Whitebridge AI met en lumière une tension centrale de notre époque numérique. D'un côté, le besoin légitime de se protéger contre les fraudes en ligne est bien réel. De l'autre, des services comme celui-ci soulèvent des questions alarmantes sur la violation de la vie privée, l'exactitude des données et une éthique commerciale pour le moins discutable.
L'affaire est désormais entre les mains des régulateurs, mais elle nous concerne tous.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
