ChatGPT : Le 31 mars dernier, la Cnil italienne a décidé de suspendre temporairement ChatGPT. Pourquoi cette autorité a-t-elle pris une telle décision, et cela augure-t-il des interdictions en cascade en Europe ?
Un coup de pied dans la fourmilière ? Vendredi 31 mars, la Garante, la Cnil italienne, a décidé de bloquer ChatGPT en Italie. L’autorité en charge de la protection des données personnelles a décidé d’ouvrir une enquête à l’égard d’OpenAI, l’entreprise à l’origine de l’agent conversationnel. Elle a aussi « ordonné, avec effet immédiat, la restriction provisoire du traitement des données des utilisateurs italiens à l’encontre d’OpenAI ». Le chatbot le plus populaire du moment ne peut donc plus utiliser les datas des utilisateurs italiens.
La raison : une violation présumée des règles de l’UE en matière de protection des données prévues par le RGPD, le règlement européen sur la protection des données personnelles de 2016. La Cnil (française) n’a pour l’instant pas de procédure similaire en cours, mais elle a expliqué à nos confrères de la Tribune qu’elle avait décidé de se concerter avec la Garante. Est-ce un excès de zèle de la part de l’autorité italienne ou un premier coup, un peu tardif, dans ChatGPT, qui compte déjà 100 millions d’utilisateurs ?
Les cas de violation listés par la Garante
Pour justifier une telle décision, la Cnil italienne s’appuie sur quatre éléments. D’abord, l’entreprise n’a pas mis en place un système de vérification de l’âge de ses utilisateurs – une obligation normalement prévue par le RGPD, le règlement européen sur les données personnelles. L’agent conversationnel est en théorie réservé aux plus de 13 ans. Or, « l’absence de filtre pour vérifier l’âge des utilisateurs expose les mineurs à des réponses totalement inadaptées à leur niveau de développement et de conscience de soi », expose la Garante.
Autre manquement noté : l’entreprise américaine n’a pas signalé aux autorités italiennes la fuite des données de certains abonnés de ChatGPT Plus le 20 mars dernier, son service premium. Le RGPD oblige à ce que toute fuite soit notifiée dans un délai très court. OpenAI n’a pas non plus informé les utilisateurs que leurs données allaient être réutilisées pour entraîner ses modèles d’IA. Et surtout, l’entreprise n’a aucune base légale justifiant la collective massive de ces données qui vont permettre de former ses algorithmes.
Pour ces quatre raisons, ChatGPT est bloqué en Italie. L’entreprise a jusqu’au 19 avril pour expliquer quelles mesures elle a prise pour se conformer aux demandes de la garante. OpenAI risque une amende administrative salée égale à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
ChatGPT, une violation en lui-même du RGPD ?
Ce n’est pas la première fois que le drapeau du RDPD est brandi contre ChatGPT. Depuis plusieurs semaines, des signaux d’alarme ont été lancés. Pour certains, le système en lui-même de l’agent conversationnel constitue une violation du RGPD.
D’abord parce qu’avec le système de prompt – de commande, qui permet de demander à l’IA de réaliser des tâches comme rédiger un texte ou écrire un code – l’utilisateur n’a pas forcément conscience que tout ce qu’il va dire sera réutilisé par l’IA. OpenAI dans ses FAQ prévient toutefois qu’il ne faut pas donner d’informations confidentielles à ChatGPT. Mais cela est régulièrement oublié. Conséquence : des sociétés comme Amazon, et même des municipalités comme celle de Montpellier plus récemment ont d’ailleurs demandé à leurs salariés de ne pas utiliser ChatGPT. La raison : en utilisant l’agent conversationnel, des informations confidentielles peuvent être données, informations qui pourraient finir par arriver aux oreilles de leurs concurrents ou tout simplement sur la place publique.
Deuxième problème : ChatGPT ne peut normalement pas collecter des données d’utilisateurs européens sans se baser sur une des « justifications » prévues par le RGPD. Si on applique le texte à la lettre, OpenAI devrait spécifier pour chaque donnée collectée quels usages il compte en faire. Or le système même de ChatGPT d’aspirateur des données ne permet pas de se conformer à cette règle. Car l’agent conversationnel collecte massivement des données pour s’améliorer, et une donnée n’est pas limitée à un usage en particulier. Et parmi ces datas aspirées : des données personnelles – qui n’ont pas non plus été collectées avec le consentement des premiers concernés.
Cette première décision pourrait donc être l’occasion pour les régulateurs de faire basculer ChatGPT et tous les autres agents conversationnels, dans l’ère de la régulation – une demande formulée notamment par le moratoire de six mois signé par une partie du secteur de l’IA. Reste à voir si les autres Cnil européennes vont se saisir de cette occasion.