3 millions d’images sexualisées en onze jours. Dont 23 000 impliquant des mineurs. Une toutes les 41 secondes. Les chiffres tombent, et ils donnent le vertige.

La Commission irlandaise de protection des données (DPC) a annoncé ce lundi 17 février l’ouverture d’une enquête formelle contre X Internet Unlimited Company, la maison mère du réseau social d’Elon Musk. Dans le viseur : le générateur d’images du modèle Grok, accusé de produire massivement des contenus intimes non consentis à partir de photos de vraies personnes.

Ce que révèlent les chiffres du CCDH

C’est le Center for Countering Digital Hate, une ONG britannique, qui a mis le feu aux poudres. Entre le 29 décembre et le 9 janvier, l’organisation a analysé un échantillon aléatoire de 20 000 images générées par Grok sur X. Sur les 4,6 millions d’images produites pendant cette période, le CCDH estime que 3 millions étaient à caractère sexualisé. Des représentations photoréalistes de personnes dans des positions ou des tenues explicites, créées sans leur consentement.

Le plus glaçant : 23 000 de ces images concerneraient des mineurs. Pas un bug. Pas un cas isolé. Un flux continu, quasi industriel.

La DPC passe à l’offensive

L’Irlande, en tant qu’autorité de contrôle principale pour X dans l’Union européenne, ne se contente pas d’un communiqué. L’enquête porte sur quatre articles du RGPD : les principes de traitement des données (article 5), la licéité du traitement (article 6), la protection dès la conception (article 25) et l’obligation de réaliser une étude d’impact (article 35).

« La DPC échange avec XIUC depuis les premiers signalements dans les médias concernant la capacité apparente des utilisateurs à demander au compte @Grok de générer des images sexualisées de vraies personnes, y compris des enfants », a déclaré Graham Doyle, commissaire adjoint de la DPC.

À lire aussi

Chez xAI, la sécurité est « morte » : exode massif après la fusion avec SpaceX
Deepfakes : comment les repérer et s’en protéger en 2025

Des rustines qui ne tiennent pas

X a bien tenté de réagir. Le 9 janvier, la plateforme a restreint la modification d’images existantes aux utilisateurs payants. Cinq jours plus tard, elle a bloqué la possibilité de déshabiller numériquement des personnes réelles via Grok. Sauf que ces restrictions ne s’appliquent qu’à X. L’application autonome Grok, disponible sur l’App Store et le Google Play Store, continuerait de générer ce type d’images sans filtre.

Et c’est là que le dossier prend une tournure encore plus embarrassante. Vingt-huit associations de défense des droits des femmes ont publié une lettre ouverte pour demander à Apple et Google de retirer Grok de leurs boutiques. Pour l’instant, les deux géants n’ont pas bougé, alors qu’ils retirent régulièrement des applications similaires développées par d’autres éditeurs.

Deux enquêtes européennes en parallèle

Cette nouvelle investigation de la DPC s’ajoute à celle lancée en janvier par la Commission européenne au titre du Digital Services Act (DSA). Bruxelles cherche à déterminer si X a correctement évalué et atténué les risques liés à Grok, y compris la diffusion de contenus illégaux.

Deux enquêtes, deux textes de loi différents. Le RGPD côté irlandais, le DSA côté Commission. Les sanctions potentielles vont de 4 % du chiffre d’affaires mondial pour le RGPD à 6 % pour le DSA. Pour X, l’addition pourrait se chiffrer en centaines de millions d’euros.

Reste une question que personne ne pose assez fort : combien de temps faudra-t-il pour que ces images déjà générées soient effectivement supprimées ?