Les autorités de protection des données et de sécurité s’interrogent sur Chat GPT 

En l’absence de législation traitant spécifiquement de l’intelligence artificielle, les pays européens se tournent vers les lois existantes pour réglementer l’IA générative telle que la solution de ChatGPT d’OpenAI. 

Le Parlement européen a annoncé, le 14 juin 2023, l’adoption de sa position de négociation sur le règlement relatif à l’intelligence artificielle (IA Act) par 499 voix pour.  

Suisse 

Le 4 avril 2023, le PFPDT a pris position sur l’utilisation de ChatGPT et autres applications comparables. Le PFPDT a notamment souligné qu’il reconnaissait les opportunités découlant de l’utilisation d’applications basées sur l’IA, telles que ChatGPT, pour la société et l’économie, mais que le traitement de données personnelles par ces nouvelles technologies doivent respecter les exigences en matière de protection des données soient respectées lors de l’utilisation d’applications assistées par l’intelligence artificielle. 

Allemagne 

•  Schleswig-Holstein  

L’autorité de protection des données du Schleswig-Holstein (ULD) a publié, le 19 avril 2023, le questionnaire que les autorités allemandes de contrôle de la protection des données, y compris la Hesse et la Rhénanie-Palatinat, ont envoyé dans le cadre de leur examen d’OpenAI, L.L.C., demandant des réponses concernant le traitement des données en rapport avec ChatGPT. En particulier, le questionnaire porte sur les points suivants : 

1. Comment ChatGPT se conforme aux principes de traitement des données en vertu du règlement général sur la protection des données (RGPD) ; 
2. La durée de conservation des données à caractère personnel ;
3. Les bases légales du traitement des données personnelles utilisées ; 
4. La manière dont ChatGPT respecte les droits des personnes concernées ; 
5. Les mesures de sécurité des données mises en œuvre par ChatGPT ; 
6. La protection des enfants et des jeunes ; 
7. La clarification des transferts vers des pays tiers ; 
8. L’utilisation ultérieure des données par d’autres services ou entreprises. 

Le questionnaire précise que les questions s’appliquent à la collecte par ChatGPT de données personnelles à partir de sources communes accessibles au public, à l’utilisation de ces données personnelles comme données d’entraînement dans le contexte de l’apprentissage automatique, au stockage des données personnelles et au traitement des données personnelles des utilisateurs de ChatGPT. 

• Hesse 

L’autorité de protection des données de Hesse (« HBDI ») a publié un communiqué de presse dans lequel elle indique que le délégué à la protection des données (« DPD ») de Hesse a demandé à OpenAI L.L.C. de répondre à un questionnaire sur la conformité des traitements des données au sein de ChatGPT avec les principes de la loi sur la protection des données en raison du manque de transparence des traitements. 

Le questionnaire comprend également des questions sur les points suivants : 

1. La limite d’âge fixée pour l’utilisation de ChatGPT, la manière dont le respect de la limite d’âge est vérifié et si le consentement d’un tuteur légal est obtenu pour tous les utilisateurs de moins de 16 ans ; et 
2. Si les données d’utilisation sont utilisées comme données d’entraînement dans le contexte de l’apprentissage automatique, quelles sources sont utilisées pour obtenir des informations sur les personnes et à quelles fins (par exemple, profilage et publicité) les données d’utilisation sont stockées. 

Le questionnaire est le fruit d’un effort coordonné avec les autres autorités de contrôle allemandes qui forment la Conférence allemande sur la protection des données (« DSK »). 

UK 

Le National Cyber Security Centre (« NCSC ») a publié un communiqué de presse dans lequel il aborde et explore les questions de cybersécurité liées à ChatGPT et aux grands modèles de langage (« LLM »). À cet égard, le NCSC a noté que, puisque les algorithmes LLM sont formés sur une grande quantité de données textuelles, généralement extraites de l’internet, il n’est pas possible de filtrer tous les contenus inexacts et « controversés » qui sont susceptibles d’être inclus dans son modèle, remettant en cause l’exactitude des réponses, la partialité et l’éventuelle utilisation malveillante des LLM pour créer des contenus toxiques. 

En outre, le NCSC a précisé qu’en ce qui concerne l’utilisation des informations contenues dans les requêtes des utilisateurs au LLM, les LLM n’ajoutent pas automatiquement les informations des requêtes à leur modèle. Cependant, le NCSC a déclaré que la requête sera visible pour l’organisation qui fournit le LLM, comme dans le cas de ChatGPT, ce qui signifie que le fournisseur peut les incorporer d’une manière ou d’une autre dans les versions futures.  

Canada  

Le Commissariat à la protection de la vie privée du Canada a annoncé que les autorités de protection de la vie privée du Canada, du Québec, de la Colombie-Britannique et de l’Alberta enquêteront conjointement sur OpenAI, L.L.C. en tant qu’exploitant de ChatGPT. 

Le CPVP a indiqué que l’enquête visera à déterminer si OpenAI : 

• a obtenu un consentement valable pour la collecte, l’utilisation et la divulgation des données de personnes basées au Canada ; 
• a respecté ses obligations en matière d’ouverture et de transparence, d’accès, d’exactitude et de responsabilité 

Cette enquête fait suite à l’annonce faite par le Commisariat en avril 2023 qu’il avait lancé une enquête sur OpenAI en réponse à une plainte alléguant la collecte, l’utilisation et la divulgation de données personnelles sans consentement. 

Pays-Bas 

 L’autorité néerlandaise de protection des données a ouvert une enquête sur la conformité RGPD des traitements de données personnelles d’OpenAI  via ChatGPT.