ChatGPT et le RGPD

L’intelligence artificielle inquiète. Le débat a été fortement accéléré par l’arrivée de ChatGPT, un outil de communication en ligne capable de générer du texte à la demande. La pertinence de ses réponses et la diversité de ses potentiels usages soulèvent de nombreuses inquiétudes concernant le monde du travail, mais pas seulement. Des experts mondiaux, dont Elon Musk, ont signé une lettre ouverte appelant à mettre en pause l’avancée de l’intelligence artificielle.

Parmi les diverses inquiétudes, celles relatives à la protection de la vie privée et des données personnelles nous intéressent tout particulièrement.

QUELQUES EVENEMENTS CLES

👉 Le débat sur la conformité au RGPD de ChatGPT a été mis en lumière par la décision du 30 mars 2023 de la Garante – l’équivalent italien de la CNIL – d’interdire provisoirement l’outil développé par OpenAI.

👉 En France, plusieurs plaintes concernant ChatGPT ont été déposées auprès de la CNIL, notamment une par Zoé Vilain, présidente de Janus International, association de sensibilisation aux enjeux du numérique, et par Davis Libeau, développeur très impliqué dans la protection des données. La CNIL va donc se rapprocher de son homologue italien et se pencher sur la question.

👉 D’autres autorités de protection des données dans le monde, notamment celle du Canada, ont ouvert une enquête sur ChatGPT

👉 Le vendredi 28 mars, la Garante a annoncé autoriser à nouveau ChatGPT en raison des garanties apportées par OpenAI

CONFORMITE RGPD ET DONNEES PERSONNELLES SORTANT DE CHATGPT LORS DE SON UTILISATION

Plusieurs potentielles violations du RGPD peuvent être identifiées au niveau des données personnelles traitées dans les réponses aux questions que lui posent les utilisateurs :

⚫ Violation de l'article 5.d. Le RGPD impose que les données soient « exactes et, si nécessaire, tenues à jour ». Or, comme l’explique David Libeau, ChatGPT a donné un certain nombre de fausses informations sur son identité et son parcours lorsqu’il l’a interrogé. Cette violation est également mise en avant dans la décision de la « CNIL italienne »

➡️  Réponse d’OpenAI : les données incorrectes ne pourront pas être rectifiées mais, à défaut elles pourront être supprimées

⚫ Violation de l’article 8. La Garante relève qu’il n’existe aucun moyen de vérification de l’âge des utilisateurs alors que le service est en théorie interdit aux moins de 13 ans

➡️  Réponse d’OpenAI : il faut désormais donner sa date de naissance pour accéder au service afin que les utilisateurs de moins de 13 ans ne puissent pas s’inscrire, à moins qu’ils ne confirment avoir le consentement parental

⚫ Violation de l’article 25. La « CNIL italienne » estime que OpenIA ne s’est pas conformé aux principes de la protection des données dès la conception et de la protection des données par défaut.

CONFORMITE RGPD ET DONNEES PERSONNELLES ENTRANT DANS CHATGPT LORS DE SON ENTRAINEMENT

Un rappel s’impose avant d’exposer les violations qui peuvent également être identifiées à ce niveau. L’intelligence artificielle doit se nourrir d’un énorme volume de données pour alimenter ses capacités de réponse. Pour cela, elle peut s’enrichir des données saisies par les utilisateurs mais également des données librement accessibles sur internet. Les données personnelles librement accessibles en ligne restent des données personnelles dont la réutilisation est encadrée par le RGPD. Par exemple, une agence immobilière qui collecterait des données de contacts sur des sites d’annonces immobilières entre particuliers afin de les prospecter par mail doit obtenir leur consentement avant de leur adresser la prospection. OpenIA est donc responsable de traitement pour la réutilisation de ces données et doit donc respecter le RGPD à cet égard. Or, plusieurs violations peuvent être identifiées à ce niveau :

⚫ Violation de l’article 13. Comme le relève la Garante, les utilisateurs de ChatGPT ainsi que les personnes dont les données personnelles disponibles sur internet sont traitées ne sont pas informées de la façon dont OpenAI traite leurs données

➡️  Réponse d’OpenAI : la politique de protection des données de ChatGPT a été mise à jour le 27 avril

⚫ Violation de l’article 6. Tout traitement de données doit reposer sur une base légale licite. La Garante estime que le traitement des données personnelles par ChatGPT ne repose sur aucune base licite, sans apporter plus de précision. En effet, la réutilisation des données saisies par les utilisateurs ou librement accessibles sur internet ne repose pas sur le consentement, et ne peut pas reposer sur le contrat, l’exécution d’une mission de service public, la sauvegarde d’un intérêt vital ou le respect d’une obligation légale. Reste l’intérêt légitime du responsable de traitement, mais il répond également à certaines conditions, notamment la proportionnalité et la prise en compte des attentes raisonnables des personnes concernées.

➡️  Réponse d’OpenAI : certaines données sont traitées sur la base du contrat alors que d’autres le sont à des fins d’intérêt légitime, ce qui implique la possibilité de s’opposer au traitement des données

⚫ Violation des articles 15, 16 et 17 du RGPD. Le RGPD donne la possibilité aux personnes concernées d’exercer un certain nombre de droits. Cette violation, que n’a pas relevé la Garante a été mise en lumière par Zoé Vilain, auteure d’une plainte auprès de la CNIL. Elle explique que son droit d’accès est resté sans réponse. De même, OpenIA devrait être en mesure de satisfaire la demande de tout individu qui exigerait que les données qui le concernent soient effacées. Or, le fonctionnement de ChatGPT rend ces demandes très difficiles – voire impossible – à satisfaire. OpenAI a déclaré s’efforcer de supprimer les données personnelles des données d’entrainement sur demande « lorsque cela est possible ».

➡️  Réponse d’OpenAI : l’exercice de certains droits est possible depuis un module facile d’utilisation ainsi qu’en écrivant à dsar@openai.com

➡️  Réponse d’OpenAI : il est notamment possible de s’opposer à ce que les données saisie dans le chat par l’utilisateur soient utilisées aux fins d’entrainement de l’algorithme 

ET MAINTENANT ?

Les éléments de réponse apportées par ChatGPT permettent de calmer certaines inquiétudes. Toutefois, la gestion effective des demandes de droits devra être observée avec attention. Par ailleurs, le Comité Européen de Protection des Données (CEPD) a lancé un groupe de travail dédié à ChatGPT afin de favoriser la coopération et les échanges d’informations sur d’éventuelles mesures d’exécution menées par les autorités de protection des données. Il sera particulièrement intéressant de voir si d’autres manquements sont identifiés et si les réponses apportées sont jugées satisfaisantes.

Au-delà de la problématique RGPD, ce débat a permis une accélération des échanges concernant la réglementation des IA génératives.