Sommaire
OpenAI fait l’objet d’une enquête sur la conformité de son chatbot IA avec les lois européennes sur la vie privée
OpenAI fait face à une autre enquête pour déterminer si son chatbot IA génératif, ChatGPT, est conforme aux lois européennes sur la vie privée.
Le mois dernier, une plainte a été déposée contre ChatGPT et OpenAI en Pologne, accusant l’entreprise de plusieurs violations du règlement général sur la protection des données (RGPD) de l’Union européenne. Hier, l’autorité polonaise a pris la décision inhabituelle de faire une annonce publique pour confirmer qu’elle a ouvert une enquête.
L’enquête de l’UODO sur ChatGPT
« L’Office de protection des données à caractère personnel [UODO] enquête sur une plainte concernant ChatGPT, dans laquelle le plaignant accuse le créateur de l’outil, OpenAI, entre autres, de traiter les données de manière illégale et peu fiable, et les règles selon lesquelles cela est fait sont opaques », a écrit l’UODO dans un communiqué de presse.
L’autorité indique qu’elle s’attend à une enquête « difficile » en raison du fait qu’OpenAI est situé en dehors de l’UE et de la nouveauté de la technologie du chatbot IA génératif dont elle examinera la conformité.
Le président de l’UODO, Jan Nowak, a déclaré : « L’affaire concerne la violation de nombreuses dispositions relatives à la protection des données personnelles, nous demanderons donc à OpenAI de répondre à un certain nombre de questions afin de mener une procédure administrative approfondie ».
La plainte de Lukasz Olejnik
La plainte, déposée par le chercheur en sécurité et en confidentialité Lukasz Olejnik, accuse OpenAI de plusieurs violations du règlement pan-européen, notamment en ce qui concerne la base légale, la transparence, l’équité, les droits d’accès aux données et la protection de la vie privée.
La plainte se concentre sur la réponse d’OpenAI à une demande d’Olejnik visant à corriger des informations personnelles incorrectes dans une biographie générée par ChatGPT à son sujet, mais à laquelle OpenAI lui a dit qu’elle ne pouvait pas répondre. Il accuse également le géant de l’IA de ne pas avoir répondu correctement à sa demande d’accès aux données et d’avoir fourni des réponses évasives, trompeuses et internement contradictoires lorsqu’il a cherché à exercer ses droits légaux d’accès aux données.
Les problèmes réglementaires d’OpenAI dans l’UE
Le scraping effectué par OpenAI sur l’Internet public pour obtenir des données d’entraînement, sans la connaissance ni le consentement des personnes, est l’un des principaux facteurs qui ont valu à ChatGPT des ennuis réglementaires dans l’UE. Son incapacité apparente à expliquer exactement comment elle traite les données personnelles ou à corriger les erreurs lorsque son IA « hallucine » et produit des informations fausses sur des individus nommés en sont d’autres.
Le bloc réglemente la manière dont les données personnelles sont traitées, exigeant qu’un processeur dispose d’une base légale pour collecter et utiliser les informations des personnes. Les processeurs doivent également respecter les exigences de transparence et d’équité. De plus, une série de droits d’accès aux données sont accordés aux personnes de l’UE, ce qui signifie que les individus de l’UE ont notamment le droit de demander la rectification des données incorrectes les concernant.
La plainte d’Olejnik teste la conformité de l’IA de ChatGPT au RGPD sur plusieurs de ces aspects. Ainsi, toute mesure coercitive pourrait avoir une incidence significative sur le développement de l’IA générative.
La réaction de l’UODO et les enquêtes en cours
En réaction à la confirmation de l’UODO selon laquelle elle enquête sur la plainte concernant ChatGPT, Olejnik a déclaré : « La focalisation sur la protection de la vie privée par la conception/la protection des données par la conception est absolument essentielle et je m’attendais à ce que ce soit l’aspect principal. Donc cela semble raisonnable. Cela concernerait les aspects de conception et de déploiement des systèmes LLM. »
Il a précédemment décrit l’expérience de chercher des réponses d’OpenAI concernant le traitement de ses informations comme le sentiment de Josef K. dans le livre de Kafka « Le Procès ». « Si cela peut être le moment Josef K. pour l’IA/LLM, espérons que cela pourra éclairer les processus en jeu », a-t-il ajouté.
La vitesse relative à laquelle l’autorité polonaise réagit à la plainte, ainsi que sa transparence concernant l’enquête, semblent remarquables.
Cela s’ajoute aux problèmes réglementaires croissants auxquels OpenAI est confronté au sein de l’Union européenne. L’enquête polonaise fait suite à une intervention de l’autorité italienne de protection des données plus tôt cette année, qui a entraîné une suspension temporaire de ChatGPT dans le pays. L’examen par le Garante se poursuit également, en examinant également les préoccupations concernant la conformité au RGPD, telles que la base légale et les droits d’accès aux données.
Par ailleurs, l’autorité espagnole de protection des données a ouvert une enquête. Un groupe de travail créé par le Comité européen de la protection des données examine également la manière dont les autorités de protection des données devraient répondre à la technologie des chatbots IA, dans le but de parvenir à un consensus parmi les autorités de protection des données du bloc sur la réglementation de cette technologie novatrice.
Le groupe de travail ne se substitue pas aux enquêtes menées par les autorités individuelles. Cependant, à l’avenir, il pourrait conduire à une certaine harmonisation de la manière dont les autorités de protection des données abordent la réglementation de l’IA de pointe. Cela dit, il est également possible qu’il y ait des divergences si les autorités de protection des données ont des opinions fortes et variées. Il reste à voir quelles autres mesures coercitives les autorités de surveillance du bloc pourraient prendre à l’égard d’outils tels que ChatGPT (ou encore, à quelle vitesse elles pourraient agir).
Dans le communiqué de presse de l’UODO, son président déclare que l’autorité prend l’enquête sur ChatGPT « très au sérieux ». Il note également que les allégations de la plainte ne sont pas les premiers doutes concernant la conformité de ChatGPT aux règles européennes de protection des données et de la vie privée.
Maciej Gawronski, du cabinet d’avocats GP Partners, qui représente Olejnik pour la plainte, a déclaré : « L’UODO devient de plus en plus vocal sur la confidentialité, la protection des données, la technologie et les droits de l’homme. Ainsi, je pense que notre plainte offre une opportunité de concilier le progrès numérique et social avec l’individualité et les droits de l’homme.
« Notez que la Pologne est un pays très avancé en matière de technologie de l’information. Je m’attends à ce que l’UODO adopte une approche très raisonnable dans sa démarche et ses procédures. Bien sûr, tant qu’OpenAI reste ouverte à la discussion. »
Interrogé sur la possibilité d’une décision rapide sur la plainte, Gawronski a ajouté : « L’autorité surveille de très près les avancées technologiques. Je suis actuellement à la conférence de l’UODO sur les nouvelles technologies. L’UODO a déjà été sollicitée à propos de l’IA par divers acteurs. Cependant, je ne m’attends pas à une décision rapide. Il n’est pas non plus dans mon intention de conclure prématurément les procédures. Je préférerais avoir une discussion honnête et éclairée avec OpenAI sur le quoi, le quand, le comment et le combien concernant la conformité de ChatGPT au RGPD, et en particulier sur la manière de satisfaire les droits des personnes concernées. »
OpenAI a été contactée pour commenter l’enquête de l’UODO, mais n’a pas envoyé de réponse.
L’entreprise d’IA ne reste pas inactive face à un paysage réglementaire de plus en plus complexe dans l’UE. Elle a récemment annoncé l’ouverture d’un bureau à Dublin, en Irlande, probablement dans le but de simplifier sa situation réglementaire en matière de protection des données si elle peut acheminer les plaintes liées au RGPD via l’Irlande.
Cependant, pour l’instant, l’entreprise américaine n’est considérée comme « principalement établie » dans aucun État membre de l’UE (y compris l’Irlande), car les décisions affectant les utilisateurs locaux continuent d’être prises au siège américain de Californie. Jusqu’à présent, le bureau de Dublin est seulement un petit satellite. Cela signifie que les autorités de protection des données du bloc restent compétentes pour enquêter sur les préoccupations concernant ChatGPT qui se posent sur leur territoire. Ainsi, d’autres enquêtes pourraient suivre.
Les plaintes antérieures à tout changement futur de statut de principale implantation pour OpenAI pourraient également être déposées n’importe où dans l’UE.
French (France) 
French (Canada) 
French (Belgium) 
English 
German 
Spanish