Le traitement des données par les entreprises d’intelligence artificielle soulève de nombreuses interrogations au regard des lois européennes sur la protection de la vie privée. C’est le cas d’OpenAI, la start-up à l’origine du célèbre agent conversationnel ChatGPT, qui fait l’objet d’une attention particulière des régulateurs du Vieux Continent. Selon les conclusions préliminaires du groupe de travail mis en place par le Comité européen de la protection des données (EDPB), OpenAI doit fournir des efforts supplémentaires pour se mettre en conformité avec le Règlement général sur la protection des données (RGPD).
Un flou juridique persistant autour de ChatGPT
Malgré plusieurs mois de travail, le groupe de l’EDPB peine encore à statuer sur la légalité du traitement des données personnelles par ChatGPT. Parmi les zones d’ombre, la base juridique sur laquelle s’appuie OpenAI pour entraîner ses modèles de langage fait débat. La start-up américaine invoque des « intérêts légitimes », mais les régulateurs estiment qu’elle devra prouver la nécessité de ce traitement et évaluer son impact sur les droits des personnes concernées.
De plus, le consentement explicite des utilisateurs pourrait être requis pour exploiter certaines données sensibles présentes dans les jeux d’entraînement de l’IA. Sans compter les principes d’exactitude et de rectification des informations qui ne sont pas suffisamment respectés selon le comité européen, au vu des erreurs générées par ChatGPT.
Une vague de plaintes en Europe contre l’IA d’OpenAI
C’est justement la propension du chatbot à « halluciner » des données erronées qui a poussé plusieurs autorités nationales à se pencher sur le cas OpenAI. Dès avril 2023, l’Italie a provisoirement banni ChatGPT, jugeant que sa collecte massive d’informations personnelles enfreignait le RGPD. Quelques semaines plus tard, la Pologne a ouvert une enquête suite à une plainte dénonçant l’invention de fausses données sur une personne par l’agent conversationnel.
Les efforts fournis par OpenAI pour se conformer au principe d’exactitude des données sont insuffisants.
Groupe de travail de l’EDPB
Plus récemment, c’est au tour de l’association autrichienne de défense de la vie privée Noyb de déposer un recours à l’encontre d’OpenAI, regrettant le manque de transparence sur les données utilisées pour entraîner ChatGPT. Des affaires qui illustrent les difficultés à encadrer ces nouvelles technologies d’IA dont l’opacité inquiète.
Vers une harmonisation du contrôle des IA en Europe ?
Si les différentes procédures nationales en cours empêchent l’EDPB de livrer des conclusions définitives, son avis donne déjà des pistes sur les obligations à respecter en matière de traitement des données personnelles par les systèmes d’IA comme ChatGPT. Les entreprises concernées devront notamment :
- Informer correctement les utilisateurs sur les risques d’erreur
- Permettre la rectification des données inexactes
- Obtenir le consentement pour les données sensibles
- Démontrer la nécessité de la collecte
À noter qu’OpenAI pourrait profiter du mécanisme du guichet unique prévu par le RGPD grâce à son implantation en Irlande. Un système qui vise à harmoniser les actions et décisions des différentes autorités de protection des données, avec une supervision potentiellement plus souple. Mais pour l’instant, la start-up reste sous le feu des critiques des régulateurs européens, qui attendent des garanties supplémentaires sur sa conformité au cadre légal en vigueur.