Avec le succès de l’IA en Europe, notamment celle de ChatGPT, les questions légitimes se posent quant à l’exploitation des données collectées par les outils d’intelligence artificielle. Que fait ChatGPT de nos données personnelles ? Est-ce que l’entreprise OpenAI, derrière cet outil, applique une gestion conforme des données des utilisateurs européens ?
Les enjeux juridiques soulevés sur ChatGPT et les difficultés à le rendre conforme à la RGPD
En avril 2023, le Comité européen de la protection des données (CEPD) a instauré un groupe de travail dédié à l’évaluation de la conformité du chatbot d’OpenAI, ChatGPT, au Règlement général sur la protection des données (RGPD). Cette initiative a été déclenchée par une action de l’autorité italienne de protection des données qui avait momentanément suspendu ChatGPT en raison de préoccupations relatives au traitement des données personnelles.
Le rapport préliminaire du groupe de travail, publié en mai 2024, met en lumière diverses problématiques juridiques capitales concernant la conformité de ChatGPT au RGPD :
- Base juridique ambiguë : L’un des principaux points de friction concerne la base juridique sur laquelle OpenAI se fonde pour traiter les données personnelles des utilisateurs de ChatGPT. Le RGPD exige une justification légale claire pour toute collecte et traitement de données personnelles, exigence que n’a pas encore clairement définie OpenAI.
- Équité des pratiques de traitement des données : Le groupe de travail exprime des inquiétudes quant à l’équité des pratiques de traitement des données d’OpenAI. Il craint que la responsabilité de corriger les informations erronées générées par ChatGPT ne soit transférée aux utilisateurs, ce qui pourrait porter atteinte à leurs droits et libertés.
- Manque de transparence : Une autre préoccupation concerne le manque de transparence d’OpenAI concernant la collecte et l’utilisation des données des utilisateurs, notamment en ce qui concerne les méthodes de web scraping et l’utilisation de ces données pour l’entraînement des modèles d’IA.
- Exactitude des informations générées : Le groupe de travail remet également en question l’exactitude des informations produites par ChatGPT, une exigence clé du RGPD. Il craint que des informations inexactes ou trompeuses ne compromettent les droits des personnes concernées.
- Respect des droits des individus : Enfin, le groupe de travail soulève des préoccupations concernant le respect des droits des individus en vertu du RGPD. Il semble qu’OpenAI ne facilite pas pleinement l’exercice de ces droits, notamment en ce qui concerne la rectification des informations incorrectes générées par ChatGPT.
Quelles sont les conclusions et quel avenir pour l’IA en Europe ?
L’avenir de ChatGPT dans l’Union européenne reste incertain, le groupe de travail devant encore se prononcer sur sa conformité au RGPD. Les autorités de protection des données sont habilitées à prendre des mesures coercitives si nécessaire. Pour continuer ses activités dans l’UE, OpenAI devra rassurer quant à la protection de la vie privée. Et il faudra voir également quelles seront les synergies avec l’AI Act, qui vient récemment d’être adopté par l’Union Européenne.
Le groupe de travail de l’UE sur la protection des données n’a pas encore décidé de la conformité de ChatGPT au RGPD. Plusieurs questions juridiques demeurent en suspens, notamment la base juridique du traitement des données par OpenAI et l’équité de ses pratiques. Des recommandations ont été formulées pour que OpenAI améliore sa transparence, l’exactitude des données et le respect des droits des individus. L’application du RGPD par ChatGPT est actuellement retardée, et l’incertitude juridique persiste.
OpenAI a désigné l’Irlande comme superviseur principal du RGPD, ce choix pouvant influencer l’approche réglementaire future. Des sanctions significatives pourraient être imposées à OpenAI en cas de non-conformité, voire une interdiction de ChatGPT dans l’UE. La nécessité de trouver un équilibre entre innovation technologique et protection des droits individuels reste un vrai challenge, et le travail du groupe de travail de l’UE sur ChatGPT contribuera à clarifier les exigences du RGPD dans ce domaine.
Source : https://www.edpb.europa.eu/system/files/2024-05/edpb_20240523_report_chatgpt_taskforce_en.pdf