Scandale ! Le créateur de ChatGPT, OpenAI, accusé d’une série de violations de protection des données dans une plainte GDPR déposée par un expert en confidentialité !

Plainte détaillée déposée contre OpenAI pour violation du GDPR

Une plainte détaillée a été déposée hier auprès de l’autorité polonaise de protection des données, soulevant des questions sur la capacité de ChatGPT-maker OpenAI à respecter les règles européennes en matière de confidentialité. La plainte allègue que le géant de l’IA basé aux États-Unis viole le règlement général sur la protection des données (RGPD) de l’UE dans plusieurs domaines tels que la base légale, la transparence, l’équité, les droits d’accès aux données et la protection de la vie privée. Il est également suggéré qu’OpenAI n’a pas consulté les régulateurs locaux avant de lancer ChatGPT en Europe, ce qui aurait permis d’éviter de violer les règles de confidentialité de l’UE.

Préoccupations concernant la conformité au RGPD

Ce n’est pas la première fois que des préoccupations sont soulevées concernant la conformité de ChatGPT au RGPD. L’autorité italienne de protection des données, le Garante, a ordonné à OpenAI d’arrêter le traitement des données localement et a identifié plusieurs problèmes dans les domaines tels que la base légale, les divulgations d’informations, les contrôles utilisateur et la sécurité des enfants. D’autres autorités de protection des données de l’UE enquêtent également sur ChatGPT.

Plainte pour traitement illégal des données à des fins d’entraînement de l’IA

La plainte déposée auprès de l’autorité polonaise de protection des données est le résultat du travail de Lukasz Olejnik, un chercheur en sécurité et en confidentialité, qui est représenté par un cabinet d’avocats basé à Varsovie. Olejnik s’est plaint d’erreurs dans la biographie générée par ChatGPT à son sujet et a demandé à OpenAI de corriger ces erreurs ainsi que de fournir les informations prévues par le RGPD. La plainte affirme qu’OpenAI a omis de fournir toutes les informations requises par la loi, notamment en ce qui concerne le traitement des données personnelles pour l’entraînement des modèles d’IA.

Droit de rectification des données personnelles ignoré

La plainte souligne également le refus d’OpenAI de corriger les erreurs générées par ChatGPT dans la biographie de M. Olejnik, alors qu’il a le droit de rectification de ses données personnelles en vertu du RGPD. La plainte affirme qu’OpenAI ne dispose pas d’un mécanisme adéquat pour corriger les données inexactes générées par ChatGPT.

Incompatibilité de la protection des données par conception

La plainte met également en évidence la violation totale du principe de protection des données par conception et par défaut du RGPD par ChatGPT. Elle affirme que la conception de ChatGPT, qui a testé l’outil en utilisant des données personnelles dans l’environnement de production plutôt que dans la phase de conception, contredit les principes de protection des données par conception.

Nous avons contacté OpenAI pour obtenir des réponses aux allégations de la plainte et pour savoir s’il a effectué une évaluation de l’impact sur la protection des données avant de lancer ChatGPT. Nous avons également demandé pourquoi OpenAI n’a pas demandé de consultation préalable auprès des régulateurs de l’UE pour développer une technologie à haut risque de manière à atténuer les risques liés au RGPD.

Nous avons également contacté l’autorité polonaise de protection des données, l’UODO, qui a confirmé avoir reçu la plainte et l’analyser pour décider des mesures à prendre. L’UODO a également confirmé qu’il s’agissait de la première plainte de ce type concernant ChatGPT et qu’il n’avait pas eu de correspondance préalable avec OpenAI concernant la conformité de ChatGPT au RGPD.

Le processus d’examen de la plainte par l’autorité polonaise pourrait prendre de six mois à deux ans. Si la violation du RGPD est confirmée, l’autorité pourrait ordonner à OpenAI de respecter les droits de M. Olejnik et d’engager un processus de consultation préalable avec les régulateurs de l’UE. La plainte demande également à l’autorité polonaise d’exiger d’OpenAI la soumission d’une évaluation de l’impact sur la protection des données (DPIA) détaillant le traitement des données personnelles lié à ChatGPT.

Olejnik espère pouvoir exercer ses droits en vertu du RGPD et est convaincu que le processus du RGPD fonctionne.