Les autorités de protection des données se saisissent du sujet de ChatGPT et de l’IA générative

ChatGPT est une solution d’intelligence artificielle (IA), développée et lancée par l’entreprise américaine OpenAI le 30 novembre 2022. Cette technologie permet aux utilisateurs de discuter avec une intelligence artificielle (IA) en utilisant un langage naturel. Pour cela, Open AI a développé un modèle de langage qui vise à imiter le langage humain (Large Language Model). D’ailleurs, le terme GPT signifie « Generative Pre-trained Transformer » c’est à dire que l’IA a été pré-entraînée pour comprendre le langage naturel et répondre aux questions qui lui sont posées. 

Mais si ChatGPT fournit un service gratuit, nous savons aussi que c’est uniquement parce que cette solution collecte et exploite les données personnelles des nombreux utilisateurs. 

Ce qui rend ce Chatbot unique, c’est sa capacité à répondre aux requêtes dans une langue compréhensible avec une habileté d’écriture impressionnante. Cependant, le fonctionnement de ce système d’IA n’est pas sans présenter des risques en pour les droits et libertés des individus, des risques éthiques et plus largement des risques sociétaux. 

Il est à noter que le 9 mai 2023, la Commission du marché intérieur et la Commission des libertés civiles ont adopté un texte de compromis sur le projet de règlement européen relatif à l’intelligence artificielle “AI Act” : 

Dans leurs amendements, les députés ont veillé à garantir une supervision des systèmes d’intelligence artificielle par des personnes, qu’ils soient sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement. Les députés souhaitent également disposer d’une définition uniforme de l’IA, conçue pour être neutre sur le plan technologique, afin qu’elle puisse s’appliquer aux systèmes d’IA d’aujourd’hui et de demain. 

Les députés ont inclus des obligations pour les fournisseurs de modèles d’IA générative, comme ChatGPT, qui devront se conformer à des exigences de transparence supplémentaires, comme la divulgation du fait que le contenu a été généré par l’IA, veiller à ce que la conception du modèle ne génère pas de contenu illégal et publier des résumés concernant le copyright des données utilisées pour l’entraînement.
Ce projet doit maintenant être approuvé par l’ensemble du Parlement lors de la session du 12 au 15 juin avant d’être soumis au vote du Conseil. 

Concernant la protection des données, le CEPD qui regroupe l’ensemble des autorités de protection des données dans l’UE a déjà lancé un groupe de travail sur ChatGPT. 

Le sujet est au cœur des préoccupations des autorités nationales de protection des données et les premières prises de position ont commencé à émerger : 

Italie : La “Garante” interdit l’usage de ChatGPT  

Le 31 mars 2023, l’autorité italienne de protection des données a décidé d’interdire l’utilisation de ChatGPT à la suite d’une enquête menée sur les activités de traitement des données personnelles des utilisateurs réalisées par OpenAI.  

Dans son communiqué, l’autorité a mis en évidence plusieurs problèmes de protection de la vie privée concernant les services de ChatGPT, en particulier :  

  • L’absence d’informations des personnes concernées ; 
  • L’absence de bases légales adéquates en ce qui concerne la collecte des données personnelles et leur traitement dans le but d’entraîner les algorithmes qui sous-tendent le fonctionnement de ChatGPT ; 
  • L’inexactitude des données car les informations fournies par ChatGPT ne correspondent pas toujours aux données réelles ; 
  • L’absence de vérification de l’âge des utilisateurs ; selon les termes publiés par OpenAI, ChatGPT est réservé aux personnes âgées d’au moins 13 ans. 

De ce fait, la Garante a conclu que le traitement des données personnelles des utilisateurs, y compris celles des mineurs, par ChatGPT était en violation des articles 5, 6, 8, 13 et 25 du RGPD.  

La Garante a confirmé qu’OpenAI devra communiquer dans un délai de 20 jours les mesures prises pour remédier aux écarts constatés et fournir tout élément jugé utile pour justifier de sa position.  

Le le 6 avril 2023 la Garante a annoncé qu’OpenAI a confirmé sa volonté de coopérer, tout en soulignant qu’elle estime respecter les lois applicables en matière de protection des données personnelles. En particulier, la Garante a indiqué qu’OpenAI s’engageait à améliorer la transparence dans l’utilisation des données personnelles des personnes concernées, sur les mécanismes permettant aux personnes d’exercer leurs droits et sur les garanties pour les enfants.  

 Le 28 avril 2023, la Garante a annoncé,  qu’elle avait reçu une lettre d’OpenAI  décrivant les mesures que cette dernière avait mises en œuvre concernant ChatGPT, afin de se conformer à la délibération de la Garante. Cette dernière a relevé plusieurs changements dans la politique de confidentalité d’OpenAI, entre autres choses :  

  • Amélioration des informations fournies aux utilisateurs et aux non-utilisateurs de l’UE ; 
  • Modification et clarification de plusieurs mécanismes et déploiement de solutions pour permettre aux utilisateurs et aux non-utilisateurs d’exercer leurs droits, tels que le droit de refuser le traitement des données personnelles pour l’entraînement des algorithmes ;
  • Ajout d’un bouton qui permet aux utilisateurs italiens de confirmer soit qu’ils ont au moins 18 ans avant d’accéder au service, ou qu’ils ont plus de 13 ans et qu’ils ont obtenu le consentement de leurs parents ; 
  • Mise à disposition dun formulaire permettant aux utilisateurs européens de s’opposer au traitement de leurs données personnelles. 

Sur la base des mesures prises par OpenAI, la Garante a autorisé le rétablissement de ChatGPT pour les utilisateurs italiens. 

Allemagne : L’autorité de protection des données du land de Bade-Wurtemberg s’adresse à OpenAI – 24 avril 2023 

Comme d’autres pays européens, l’Allemagne examine actuellement l’utilisation des données personnelles par ChatGPT. Le 3 avril 2023, Ulrich Kelber, le commissaire allemand à la protection des données, n’a pas exclu la possibilité d’interdire l’utilisation de ChatGPT. M Kelber a déclaré que cette décision serait de la compétence de chaque État fédéral allemand et a ajouté que les autorités de régulation allemandes avaient été en contact avec leurs homologues italiens. 

Après avoir consulté d’autres autorités de protection des données allemandes, la LFDI de Bade-Wurtemberg a envoyé une série de questions à l’entreprise américaine responsable de ChatGPT qui doit y répondre d’ici le 11 juin. L’un des objectifs est de savoir si une analyse d’impact sur la protection des données a été effectuée et si les risques liés à la protection des données sont maitrisés conformément au RGPD. 

Il faut aussi clarifier comment les personnes peuvent exercer leurs droits. 

Espagne : L’autorité espagnole de protection des données ouvre une enquête sur OpenAI – 13 avril 2023 

L’autorité espagnole de protection des données (AEPD) a annoncé l’ouverture d’une enquête concernant OpenAI, qui propose l’intelligence artificielle ChatGPT, en raison de possibles violations de la réglementation sur la protection des données. 

L’AEPD a également précisé avoir demandé au Conseil européen de la protection des données, le CEPD, d’inclure le sujet de ChatGPT dans l’ordre du jour de sa réunion plénière. Cette intelligence artificielle ayant un impact significatif sur les droits des individus, nécessite des mesures harmonisées et coordonnées à l’échelle européenne, en raison de l’application du RGPD. 

Le Réseau Ibéro-américain des autorités de Protection des Données (« RIPD ») annonce une action coordonnée sur le ChatGPT –8 mai 2023 

En particulier, le RIPD a soulevé des risques que ChatGPT peut générer pour les droits et libertés des utilisateurs si les règles de protection des données ne sont pas respectées, notamment : la validité des bases juridiques, l’information des personnes, la possibilité pour les personnes d’exercer leurs droits, le transfert de données personnelles à des tiers, l’absence de mesures de contrôle de l’âge pour empêcher les mineurs d’accéder à sa technologie, la justification de mesures de sécurité adaptées pour protéger les données personnelles. 

Le RIPD a indiqué que ses membres ont décidé de commencer à surveiller ChatGPT dans l’exercice de leurs compétences et coordonneront leurs actions dans le cadre du réseau.  Le RIPD invite les utilisateurs de ChatGPT à faire preuve de vigilance et à consulter la politique de confidentialité associée au service en attendant les résultats de leur évaluation. 

France : La CNIL enregistre les premières plaintes contre OpenAI  

Deux plaintes ont été déposées auprès de la CNIL.  

Concernant la première affaire, la plaignante relève l’absence de « conditions générales d’utilisation » et politique de confidentialité préalablement à l’utilisation de ChatGPT. Elle souhaite une aide de la CNIL afin d’exercer son droit d’accès aux informations personnelles, qu’Open AI n’a pas souhaité lui communiquer malgré sa demande.  

Dans la seconde plainte, le plaignant reproche à ChatGPT de fournir des informations erronées sur lui-même, en l’espèce, la personne concernée et donc de violer l’article 5.1.d du RGPD qui exige que les informations relatives à une personne soient exactes et tenues à jour.  

De plus, Eric Bothorel, membre du groupe Renaissance à l’Assemblée nationale a déclaré avoir déposé une plainte le 12 avril 2023 auprès de la CNIL, en raison de la production de renseignements inexacts par ChatGPT à son égard. ChatGPT indique en effet que cet individu est né le 20 novembre 1961 à Morlaix, qu’il est maire de Lannion ou Saint-Brieuc, qu’il est élu dans la 2e circonscription des Côtes-d’Armor, qu’il a travaillé dans le journalisme, chez Orange, dans le groupe de communication Havas, ou comme enseignant.  En réalité, M. Bothorel est né le 20 octobre 1966 à Paimpol, n’a jamais été maire, est député de la 5e circonscription des Côtes-d’Armor et a été cadre dans une filiale de General Electric.