Actualités juridiques et digitales

RGPD et ChatGPT : Faille de sécurité, transparence, collecte, mineurs

Rédigé par Haas Avocats | Apr 18, 2023 9:36:26 AM

Par Haas Avocats

ChatGPT, la plateforme d'IA conversationnelle créée par la société américaine OpenAI, est connue pour sa capacité à émuler et élaborer des conversations humaines.

Cependant, durant le mois de mars 2023, le robot conversationnel a été confronté à des défis significatifs.

Le 20 mars, Chat GPT a subi une perte de données (data breach) concernant les conversations des utilisateurs et les informations relatives au paiement des abonnés au service payant.

Le 28 mars, près de 1 100 experts de l’industrie de la tech du monde entier ont signé une lettre ouverte sur le développement des systèmes d’IA les plus avancés, appelant à faire une « pause d’au moins six mois » afin que des politiques de sécurité puissent être mises en place.

Enfin, le 31 mars 2023, l’autorité administrative indépendante italienne « Il garante per la protezione dei dati personali » (ou « la Garante ») a rendu une décision dans laquelle elle bloque temporairement l’accès à cette plateforme par les utilisateurs italiens.

Cette décision intervient quelques jours après la publication du rapport de l’Agence européenne de police criminelle, Europol, faisant part de ses inquiétudes quant à la possibilité d’exploitation de ChatGPT par des cybercriminels susceptibles d’utiliser cet outil à des fins de fraudes, de désinformations et d’arnaques.  

La Garante a alors publié un communiqué pour expliquer sa décision.

L’absence de transparence concernant la collecte et le traitement des données personnelles

L'autorité italienne de surveillance met en lumière l’absence d’informations fournies aux utilisateurs et aux personnes dont les données sont collectées par OpenAI.

Elle souligne en outre, qu’aucune base légale ne semble sous-tendre la collecte et le traitement massif de données à caractère personnel qui alimentent et perfectionnent les algorithmes sur lesquels la plateforme s'appuie.

Enfin, la Garante indique que les informations mises à disposition par ChatGPT ne correspondent pas toujours aux circonstances factuelles, de sorte que des données personnelles inexactes sont traitées. Ainsi, il peut arriver que les biographies demandées au robot conversationnel contiennent des erreurs.

ChatGPT transgresserait donc les dispositions du règlement général sur la protection des données (RGPD).

L’absence de vérification de l’âge des mineurs

Le service ChatGPT est destiné à des utilisateurs âgés de plus de 13 ans selon les conditions d'utilisation d'OpenAI.

Toutefois, le régulateur italien souligne l'absence de tout mécanisme de vérification de l'âge.

Ainsi, selon « Il garante per la protezione dei dati personali », ChatGPT expose les enfants à recevoir des réponses inappropriées à leur âge et à leur sensibilité.

À noter que ce n’est pas la première fois que l’autorité italienne alerte sur les potentiels dysfonctionnements de l’intelligence artificielle vis-à-vis des utilisateurs mineurs.

En effet, en février dernier, la Garante avait déjà interdit l’application du chatbot Replika, qui génère un "ami virtuel" à l’aide d’interfaces texte et vidéo, au regard des risques encourus notamment pour les enfants et les personnes émotionnellement vulnérables.

Les répercussions de la décision

L’autorité italienne impose dans sa décision une limitation temporaire immédiate au traitement des données des utilisateurs italiens par OpenAI.

La société américaine, et plus précisément son représentant dans l'Espace économique européen, devra donc notifier à l'autorité italienne, dans un délai de 20 jours, les mesures mises en œuvre pour se conformer à la décision, faute de quoi une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total pourra lui être infligée.

En France, la Commission nationale de l'informatique et des libertés (CNIL), sollicitée par différents médias[1], déclare ne pas avoir initié de procédure à l'encontre de ChatGPT ni avoir été saisie de plaintes à ce sujet.

La CNIL a cependant entamé des démarches auprès de son homologue italienne en vue d'un échange sur les constatations effectuées. Elle se propose ainsi, dans les mois à venir, de clarifier le cadre juridique entourant les intelligences artificielles génératives ainsi que leurs mécanismes d'apprentissage.

Côté anglo-saxon, la commission irlandaise de protection des données a déclaré à la BBC qu’elle suivait les avancées du régulateur italien pour comprendre le fondement de son action et « se coordonnera avec toutes les autorités de protection des données de l’UE ».

L’autorité britannique de réglementation des données a également indiqué à la BBC qu’elle soutiendrait les développements de l’intelligence artificielle, mais qu’elle agirait en cas de non-respect des lois sur la protection des données.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leur transition écologique. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici »

[1] Le Figaro, RTL.