Par Haas Avocats
Depuis la mise en ligne de ChatGPT, plusieurs plaintes ont été envisagées ou déposées dans plusieurs pays, à savoir : l’Australie, la Pologne, la France, le Canada et les Etats-Unis.
Il ressort de ces accusations que les réponses formulées par ChatGPT aux requêtes qui lui sont adressées peuvent être diffamantes ou contraires à la législation applicable en matière de droits d’auteur ou de protection des données à caractère personnel.
Afin d’assurer la pertinence des réponses qu’elle formule aux demandes qui lui sont adressées, ChatGPT entraîne son algorithme avec une base de données constituée de toutes les informations librement accessibles sur le Web, qu’elles soient personnelles ou pas.
Cette aspiration massive de données soulève des inquiétudes gravitant autour de la protection de la vie privée des personnes concernées. La plainte déposée en Pologne par Olejnik Lukasz en aout dernier en est une parfaite illustration.
Les plaintes déposées à l’encontre de ChatGPT
Dans sa plainte, le chercheur polonais reproche à ChatGPT :
- d’avoir aspiré et réutilisé[1] ses données personnelles sur le Web à son insu[2] ;
- de propager de fausses informations le concernant[3];
- de ne pas donner suite à ses demandes d’accès[4] et de rectification[5];
A l’échelle mondiale, la presse internationale s’est faite l’écho de 8 plaintes qui ont été déposées à l’encontre de ChatGPT pour des manquements analogues à ceux reprochés par Olejnik Lukasz.
Parmi ces plaintes figure un recours collectifs intenté par 16 plaignants amércains[6] dénonçant les méthodes de scraping d’Open AI auprès de plateformes connues (à savoir : Spotify, Snapchat, Stripe, Slack, Bing ou encore Microsoft Teams) ainsi que l’accessibilité de ses services par des mineurs de 13 ans alors que cela est proscrit par ses propres conditions d’utilisation[7]. Dans cette plainte, le cabinet Clarkson demande la suspension de ChatGPT jusqu’à ce qu’Open AI implémente des mesures garantissant le respect de la vie privée des personnes concernées[8].
Nous avons constitué une cartographie des plaintes connues à ce jour (voir ci-dessous).
En France, la question du : « scraping » n’est pas récente. En 2020, la CNIL avait déjà publié une série de recommandations visant à encadrer cette pratique dans le cadre de la prospection commerciale[9]. Au terme d’une série de 4 contrôles opérés en 2019, elle avait conclu que les sociétés ayant recours aux logiciels de scraping devaient :
- s’acquitter des obligations de transparence prévues à l’article 14 du RGPD ;
- recueillir le consentement des personnes concernées avant de réutiliser leurs données à des fins étrangères à celles prévues initialement[10];
- respecter leur droit d’opposition[11] et ;
- limiter l’aspiration aux données strictement nécessaires au démarchage commercial (à savoir les données d’identification et les coordonnées des personnes concernées).
Le cas de ChatGPT est singulier dans la mesure où la finalité du scraping réside dans l’entraînement de son algorithme à répondre à toutes les requêtes qui peuvent lui parvenir. Cela a pour conséquence de réduire à une peau de chagrin la portée de l’obligation de minimisation qui incombe à Open AI.
Par ailleurs, la volumétrie des données à challenger est si importante qu’elle implique une marge d’erreur significative dans les réponses qui sont apportées par Chat GPT, notamment lorsqu’elles concernent des personnes physiques. Il est donc nécessaire d’envisager des mesures spécifiques à l’encadrement des systèmes d’IA générative tels que Chat GPT.
Les mesures étatiques et communautaires mises en place
Au niveau communautaire, les CNIL européennes ont constitué une : « Task Force » pour permettre l’échange d’informations pouvant aboutir sur de possibles actions à engager à l’encontre d’Open AI[12].
À l’échelle nationale, plusieurs pays, dont l’Espagne, le Canada ou encore l’Italie ont ouvert des enquêtes pour s’assurer que ChatGPT respecte la législation applicable en matière de protection des données personnelles.
Le 31 mars dernier, La Garante (la CNIL italienne) a prononcé « la limitation provisoire du traitement des données des utilisateurs italiens vis-à-vis d’OpenAI » en lui reprochant :
- des manquements à ses obligations de transparence[13];
- l’absence de vérification de l’âge de ses utilisateurs[14];
- l’absence de base juridique des traitements de données personnelles réalisés[15];
- le recueil et le stockage massif de données personnelles[16].
Toutefois, sur la base des justificatifs apportés par Open AI, l’autorité italienne a levé la suspension de Chat GPT le 28 avril 2023.
En France, le service d’intelligence artificielle de la CNIL a d’ores et déjà annoncé le lancement des travaux ayant vocation à encadrer l’apprentissage automatique des systèmes d’IA afin de garantir leur conformité au RGPD. Toutefois, aucune suspension de Chat GPT n’est envisagée sur le territoire français.
En sus de ces manquements, Open AI est également la cible de plusieurs plaintes déposées pour diffamation[17] ou manquement aux dispositions légales encadrant la protection des droits d’auteurs[18].
Quoi qu’il en soit, il faudra suivre de près les suites qui seront données aux plaintes adressées à Chat GPT.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Manquement à l’obligation de limitation des finalités (article 5.b du RGPD)
[2] Manquement à l’obligation d’information de la personne concernée (articles 12 et 14 du RGPD) et manquement à l’obligation de recueillir le consentement de la personne concernée (article 6 du RGPD).
[3] Manquement à l’obligation d’exactitude des données personnelles (article 5.d du RGPD).
[4] Manquement au droit d’accès de la personne concernée (article 15 du RGPD).
[5] Manquement au droit de rectification de la personne concernée (article 16 du RGPD).
[6] Recours collectif rédigé par Clarkson Law Firm, P.C et enregistré le 28 juillet 2023
[7] Recours collectif rédigé par Clarkson Law Firm, P.C et enregistré le 28 juillet 2023, paragraphe 336
[8] Recours collectif rédigé par Clarkson Law Firm, P.C et enregistré le 28 juillet 2023 (page 148).
[9] Recommandations CNIL : La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial, 30 avril 2020.
[10] Principe de limitation des finalités (article 5.b du RGPD).
[11] Droit d’opposition des personnes concernées (article 16 du RGPD).
[12] Communiqué de presse du CEPD.
[13] Articles 12, 13 et 14 du RGPD.
[14] Manquement à l’obligation de recueillir le consentement du détenteur de l’autorité parental du mineur numérique (article 8 du RGPD)
[16] Manquement à l’obligation de minimisation des données personnelles (article 5.c du RGPD)
[17]Plainte du maire d’Hepburn Shire (ville australienne) à l’encontre d’Open AI pour diffamation (Reuters).
[18] Plainte de Sarah Silverman (écrivaine américaine) à l’encontre d’Open AI pour avoir intégré aux données d’apprentissage de Chat GPT ses œuvres protégées sans son consentement (BBC).