Instagram, images IA et données : pourquoi Meta est régulièrement rappelée à l’ordre

L’essentiel. En juillet 2026, Meta a brièvement permis, dans certains marchés, de générer avec son IA des images inspirées d’un compte Instagram public en le mentionnant. Après les critiques, le groupe a retiré cette possibilité. Cet épisode ne tranche pas à lui seul une question de droit : il illustre surtout un modèle récurrent, dans lequel les utilisateurs découvrent après coup l’étendue d’un traitement, puis doivent utiliser les recours, les régulateurs ou les tribunaux pour en obtenir les limites.

Temps de lecture estimé 11 minutes

Partager cet article

Le problème ne se réduit pas à une nouveauté IA. Depuis 2021, Meta — maison mère de Facebook, Instagram et WhatsApp — a fait l’objet de sanctions et de procédures sur les cookies, la publicité comportementale, les données d’enfants, les transferts vers les États-Unis, la sécurité, l’accès aux données et la modération. En France, la CNIL a sanctionné Facebook pour ses cookies ; la DGCCRF pilote une action européenne sur le modèle « payer ou consentir » ; des associations et des médias ont aussi engagé des plaintes ou actions.

L’épisode des images IA : une fonctionnalité retirée après les critiques

Le 7 juillet 2026, Meta a présenté Muse Image, son nouvel outil de génération d’images. Dans une communication régionale, l’entreprise expliquait qu’il devenait possible de mentionner le compte Instagram public d’un ami dans Meta AI afin de créer des images dans lesquelles cette personne apparaît : cartes d’anniversaire, mèmes de voyage ou montages créatifs. Le produit était lié au statut public du compte, pas à la simple détention d’un compte Instagram.

La formule a rapidement suscité des réactions, car l’usage d’une apparence pouvait être déclenché par une tierce personne. El País a rapporté que la personne dont les photos publiques servaient de référence n’était pas notifiée. Cadena SER a ensuite rapporté le retrait de la fonctionnalité, Meta indiquant avoir « écouté les retours » et compris que la fonction n’était pas appropriée.

Il faut être précis sur ce que cela prouve. Cette séquence ne vaut ni décision de justice ni constat d’infraction. Elle documente une décision produit, une protestation et un recul public. Elle pose néanmoins des questions concrètes : notification de la personne représentée, paramètre activé par défaut ou non, protection des mineurs, et possibilité d’obtenir un recours simple quand une image générée devient trompeuse, humiliante ou diffamatoire.

Avant l’IA : le combat pour identifier un compte Instagram anonyme

La difficulté de faire réagir la plateforme ne date pas de l’IA. Dans une enquête publiée le 22 novembre 2021, Next racontait la procédure engagée en référé par le photographe Fabrice Meuwissen contre Facebook France et Facebook Ireland. Il demandait les données associées à un compte Instagram anonyme qui l’accusait régulièrement de viol et d’autres agressions sexuelles.

L’article décrit une audience au tribunal judiciaire de Paris et une demande visant notamment les données d’identification et l’étendue des messages envoyés par le compte. Il ne permet pas, à lui seul, de dire quelle décision définitive aurait ensuite été rendue. Son intérêt est ailleurs : lorsqu’une personne veut faire cesser un préjudice ou identifier un auteur anonyme, les données utiles sont souvent chez la plateforme, mais leur obtention peut exiger une procédure judiciaire ciblée. C’est très différent d’un droit général à connaître l’identité d’un utilisateur.

Depuis 2021 : décisions, procédures et plaintes à distinguer

DateAffaireÉtat vérifiable
31 décembre 2021 — FranceCookies Facebook : refus moins simple que l’acceptation sur facebook.com.Décision CNIL : 60 millions d’euros d’amende contre Facebook Ireland et injonction de proposer un refus aussi simple.
2 septembre 2022 — UE/RGPDMineurs sur Instagram : comptes d’enfants publics par défaut et données de contact associées à certains comptes professionnels.Décision de l’autorité irlandaise : 405 millions d’euros et mesures correctrices. Le registre de la DPC indique une procédure d’appel en cours.
25 novembre 2022 — UE/RGPDDonnées aspirées : outils Facebook Search, importation de contacts Facebook Messenger et Instagram, après la découverte d’un jeu de données publié en ligne.Décision DPC : 265 millions d’euros, réprimande et mise en conformité. Appel mentionné par la DPC.
31 décembre 2022 — UE/RGPDPublicité comportementale : Meta ne pouvait pas fonder ce traitement sur le « contrat » accepté pour accéder à Facebook et Instagram.Deux décisions DPC : 210 millions d’euros pour Facebook et 180 millions pour Instagram, plus mise en conformité. Appel indiqué au registre.
12 mai 2023 — UE/RGPDTransferts UE–États-Unis de données Facebook après l’arrêt Schrems II.Décision DPC : 1,2 milliard d’euros, suspension des transferts futurs et mise en conformité. Appel encore affiché par la DPC.
2024–2025 — France et UEModèle « payer ou consentir » : abonnement payant ou publicité ciblée.Plainte UFC-Que Choisir auprès de la CNIL en 2024 ; action CPC pilotée par la DGCCRF ; décision DMA de la Commission le 23 avril 2025 : 200 millions d’euros d’amende à Meta.
2024–en cours — France/UEEntraînement de l’IA sur les données des utilisateurs européens.Noyb a déposé une plainte notamment auprès de la CNIL. Selon le suivi public de l’association, elle reste en cours d’instruction ; la première mise en œuvre de 2024 avait été suspendue.
12 décembre 2024 — UE/RGPDJetons d’accès Facebook : faille liée à une fonction de téléversement vidéo, avec des millions d’utilisateurs concernés.Décision DPC : 251 millions d’euros et réprimande ; appel affiché au registre de l’autorité.
22 avril 2025 — FranceEnviron 200 médias français ont assigné Meta pour des pratiques qu’ils jugent illégales en matière de données et de publicité ciblée.Action introduite devant le tribunal des activités économiques de Paris : ce n’est pas une décision de condamnation.

La France n’est pas spectatrice

La sanction CNIL de 2021 a visé un choix d’interface très concret : un bouton permettait d’accepter immédiatement les cookies, sans solution équivalente pour les refuser. Le montant de 60 millions d’euros est une décision, pas une simple plainte. À l’inverse, les procédures de 2024 et 2025 doivent être décrites avec leur statut exact : l’UFC-Que Choisir a déposé une plainte ; la DGCCRF a piloté l’action coordonnée du réseau européen de coopération en matière de protection des consommateurs ; les 200 médias ont introduit une action. Ces démarches n’emportent pas, par elles-mêmes, une reconnaissance de responsabilité.

Un autre dossier français, moins connu, concerne la capacité même à identifier les auteurs de contenus. Selon Addictions France, la cour d’appel de Paris a confirmé une condamnation de Meta à transmettre l’identité de 19 influenceurs ayant fait la promotion d’alcool sur Instagram. L’association indiquait en février 2024 que ces informations n’avaient pas encore été transmises. Ce document est le communiqué de l’association : il doit donc être lu comme sa présentation de la procédure, mais il rappelle que l’obtention de données d’identification peut devenir un enjeu d’exécution, même après une décision.

Ce que ces affaires ont en commun

La même mécanique revient, sous des objets différents. D’abord, un utilisateur ou une organisation se heurte à un réglage, une collecte, une absence de réponse ou une impossibilité de vérifier ce que la plateforme détient. Ensuite, il faut qualifier le problème : plainte RGPD, action de consommateur, signalement DSA, référé pour obtenir des éléments d’identification, ou contentieux économique. Enfin, le débat se déplace vers la preuve et l’exécution : une sanction est-elle définitive ? un appel est-il en cours ? une décision est-elle appliquée ?

L’épisode Muse Image ajoute une couche contemporaine. La question n’est plus seulement « quelles données Meta collecte-t-elle ? », mais aussi « quels usages une tierce personne peut-elle déclencher à partir d’un profil public ? ». Le retrait rapide ne résout pas tout : il montre que les paramètres par défaut, la simplicité du refus et la possibilité de contester une représentation synthétique sont devenus des questions de gouvernance aussi importantes que le modèle lui-même.

Le « comité d’éthique » de Meta : un recours utile, mais très encadré

Le nom recherché est l’Oversight Board, ou Conseil de surveillance de Meta. Ce n’est ni une autorité publique, ni un tribunal, ni un organisme compétent pour les plaintes RGPD, la récupération de données ou l’indemnisation d’un préjudice. Il contrôle certaines décisions de modération de contenu sur Facebook et Instagram : retrait d’une publication, maintien d’un contenu signalé, et, dans certains cas, décisions relatives à un compte. Il peut notamment être pertinent lorsqu’une image IA, un deepfake ou un contenu portant atteinte à une personne a été signalé mais laissé en ligne.

La saisine ne remplace toutefois pas le recours interne : l’utilisateur doit d’abord demander la révision à Facebook ou Instagram, disposer d’un compte encore actif, recevoir une décision finale et, si le dossier est éligible, obtenir une référence commençant par FB ou IG. Le Conseil choisit ensuite lui-même un nombre limité de cas selon leur complexité et leur importance mondiale. Lorsqu’il examine un dossier, sa décision sur le contenu est contraignante pour Meta, sauf contrariété avec la loi ; ses recommandations générales de politique ne le sont pas, même si Meta doit y répondre.

Son indépendance est donc réelle dans son architecture, mais relative dans son environnement. Le Conseil affirme que ses membres ne sont pas salariés de Meta, ne peuvent être révoqués par elle et sont soutenus par un trust irrévocable. Il est néanmoins financé par une dotation apportée par Meta — 130 millions de dollars en 2019, puis 150 millions supplémentaires annoncés en 2022 — et il ne sélectionne qu’une petite partie des recours. C’est la source des critiques récurrentes : dépendance financière indirecte, lenteur et portée limitée. Le débat est d’autant plus actuel que le Conseil a déjà reproché à Meta des règles insuffisantes sur les médias manipulés et les contenus générés par IA.

Que peut faire un utilisateur français ?

  • Documenter : conserver URL, captures horodatées, nom du compte, messages et réponse éventuelle de la plateforme.
  • Signaler dans l’application : notamment une image ou un contenu qui porte atteinte à la vie privée, usurpe une identité ou paraît illégal.
  • Utiliser le Conseil de surveillance lorsque le dossier est éligible : après le recours interne de Meta, avec la référence FB ou IG ; ce n’est pas une voie pour faire trancher un litige de données ou obtenir une indemnisation.
  • Exercer ses droits : demander l’accès aux données ou s’opposer à certains traitements lorsque le RGPD le permet. La CNIL rappelle que Meta a annoncé l’utilisation de données de Facebook et Instagram pour son IA à partir du 27 mai 2025, avec des mécanismes d’opposition.
  • Saisir la CNIL : après une demande restée sans réponse ou en cas de désaccord sur le traitement des données.
  • Ne pas confondre anonymat et impunité : l’identification d’un compte peut nécessiter une procédure judiciaire adaptée ; les données ne sont pas automatiquement communicables à la personne qui les demande.

Sources principales

Continuer la lecture

Trois autres articles pour approfondir la preuve, le numérique et la stratégie probatoire.