Quelques jours après qu’OpenAI a annoncé un ensemble de contrôles de confidentialité pour son chatbot IA génératif, ChatGPT, le service a été à nouveau disponible pour les utilisateurs en Italie, résolvant (pour l’instant) une suspension réglementaire anticipée dans l’un des 27 États membres de l’Union européenne, alors même qu’une enquête locale sur sa conformité aux règles de protection des données de la région se poursuit.
Au moment de la rédaction de cet article, les internautes naviguant sur ChatGPT à partir d’une adresse IP italienne ne sont plus accueillis par une notification leur indiquant que le service est « désactivé pour les utilisateurs en Italie ». Au lieu de cela, ils sont accueillis par une note disant qu’OpenAI est « heureux de reprendre l’offre de ChatGPT en Italie ».
La fenêtre contextuelle stipule ensuite que les utilisateurs doivent confirmer qu’ils ont 18 ans ou plus avec le consentement d’un parent ou d’un tuteur pour utiliser le service – en cliquant sur un bouton indiquant « Je réponds aux exigences d’âge d’OpenAI ».
Le texte de la notification attire également l’attention sur la politique de confidentialité d’OpenAI et des liens vers un article du centre d’aide où la société indique qu’elle fournit des informations sur « comment nous développons et formons ChatGPT ».
Les modifications apportées à la manière dont OpenAI présente ChatGPT aux utilisateurs en Italie visent à satisfaire un premier ensemble de conditions fixées par l’autorité locale de protection des données (DPA) afin qu’elle reprenne le service avec un risque réglementaire maîtrisé.
Récapitulatif rapide de la trame de fond ici : à la fin du mois dernier, l’italien Garante a ordonné une ordonnance d’arrêt temporaire du traitement sur ChatGPT, affirmant qu’il craignait que les services ne violent les lois européennes sur la protection des données. Elle a également ouvert une enquête sur les violations présumées du règlement général sur la protection des données (RGPD).
OpenAI a rapidement répondu à l’intervention en géobloquant les utilisateurs avec des adresses IP italiennes au début de ce mois.
Cette décision a été suivie, quelques semaines plus tard, par la publication par le Garante d’une liste de mesures qu’OpenAI doit mettre en œuvre pour que l’ordonnance de suspension soit levée d’ici la fin avril, y compris l’ajout d’une limite d’âge pour empêcher les mineurs d’accéder au service. et modifier la base juridique revendiquée pour le traitement des données des utilisateurs locaux.
Le régulateur a fait face à des critiques politiques en Italie et ailleurs en Europe pour l’intervention. Bien que ce ne soit pas la seule autorité de protection des données à soulever des inquiétudes – et, plus tôt ce mois-ci, les régulateurs du bloc ont convenu de lancer un groupe de travail axé sur ChatGPT dans le but de soutenir les enquêtes et la coopération sur toute application.
Dans un communiqué de presse publié aujourd’hui annonçant la reprise du service en Italie, le Garante a déclaré qu’OpenAI lui avait envoyé une lettre détaillant les mesures mises en œuvre en réponse à la commande précédente – écrivant: « OpenAI a expliqué qu’il avait étendu les informations aux utilisateurs européens et aux non-utilisateurs , qu’elle avait modifié et clarifié plusieurs mécanismes et déployé des solutions modulables pour permettre aux utilisateurs et aux non-utilisateurs d’exercer leurs droits. Sur la base de ces améliorations, OpenAI a rétabli l’accès à ChatGPT pour les utilisateurs italiens. »
Développant plus en détail les mesures prises par OpenAI, la DPA indique qu’OpenAI a élargi sa politique de confidentialité et fourni aux utilisateurs et aux non-utilisateurs plus d’informations sur les données personnelles traitées pour la formation de ses algorithmes, notamment en stipulant que chacun a le droit de se retirer. d’un tel traitement – ce qui suggère que l’entreprise s’appuie désormais sur une revendication d’intérêts légitimes comme base juridique pour le traitement des données pour la formation de ses algorithmes (puisque cette base l’oblige à proposer une option de retrait).
De plus, la Garante révèle qu’OpenAI a pris des mesures pour permettre aux Européens de demander que leurs données ne soient pas utilisées pour former l’IA (les demandes peuvent lui être faites via un formulaire en ligne) – et de leur fournir des « mécanismes » de faire supprimer leurs données.
Il a également déclaré au régulateur qu’il n’était pas en mesure de corriger le défaut des chatbots fournissant de fausses informations sur des personnes nommées à ce stade. D’où l’introduction de « mécanismes permettant aux personnes concernées d’obtenir l’effacement des informations considérées comme inexactes ».
Les utilisateurs européens souhaitant s’opposer au traitement de leurs données personnelles pour la formation de son IA peuvent également le faire via un formulaire mis à disposition par OpenAI qui, selon la DPA, « filtrera ainsi leurs chats et leur historique de chat à partir des données utilisées pour la formation ». algorithmes ».
Ainsi, l’intervention de la DPA italienne a entraîné des changements notables dans le niveau de contrôle que ChatGPT offre aux Européens.
Cela dit, il n’est pas encore clair si les ajustements qu’OpenAI s’est empressé de mettre en œuvre iront (ou pourront) aller assez loin pour résoudre toutes les préoccupations soulevées par le RGPD.
Par exemple, il n’est pas clair si les données personnelles des Italiens qui ont été utilisées pour former son modèle GPT historiquement, c’est-à-dire lorsqu’il a extrait des données publiques d’Internet, ont été traitées avec une base légale valide – ou, en effet, si les données utilisées pour former des modèles précédemment seront ou pourront être supprimés si les utilisateurs demandent que leurs données soient supprimées maintenant.
La grande question reste de savoir quelle base juridique OpenAI avait pour traiter les informations des personnes en premier lieu, à l’époque où l’entreprise n’était pas aussi ouverte sur les données qu’elle utilisait.
La société américaine semble espérer répondre aux objections soulevées à propos de ce qu’elle fait avec les informations des Européens en fournissant maintenant des contrôles limités, appliqués aux nouvelles données personnelles entrantes, dans l’espoir que cela efface la question plus large de toutes les données personnelles régionales. le traitement est fait historiquement.
Interrogé sur les changements mis en œuvre, un porte-parole d’OpenAI a envoyé à TechCrunch cette déclaration récapitulative :
ChatGPT est à nouveau disponible pour nos utilisateurs en Italie. Nous sommes ravis de les accueillir à nouveau et nous restons déterminés à protéger leur vie privée. Nous avons abordé ou clarifié les problèmes soulevés par le Garante, notamment :
Nous apprécions le Garante pour sa collaboration et nous attendons avec impatience des discussions constructives continues.
« Une grande quantité de données sur Internet concerne des personnes, de sorte que nos informations de formation incluent d’ailleurs des informations personnelles. Nous ne recherchons pas activement des informations personnelles pour former nos modèles.
Ce qui se lit comme une belle tentative d’esquiver l’exigence du RGPD selon laquelle il dispose d’une base juridique valide pour traiter ces données personnelles qu’il a trouvées.
OpenAI développe davantage sa défense dans une section (affirmativement) intitulée « comment le développement de ChatGPT est-il conforme aux lois sur la confidentialité ? » — dans laquelle il suggère qu’il a utilisé les données des personnes légalement parce qu’A) il voulait que son chatbot soit bénéfique ; B) il n’avait pas le choix car de nombreuses données étaient nécessaires pour créer la technologie d’IA ; et C) il prétend qu’il ne voulait pas avoir d’impact négatif sur les individus.
«Pour ces raisons, nous basons notre collecte et notre utilisation des informations personnelles incluses dans les informations de formation sur des intérêts légitimes conformément aux lois sur la confidentialité telles que le RGPD», écrit-il également, ajoutant: «Pour remplir nos obligations de conformité, nous avons également rempli un évaluation de l’impact sur la protection des données pour nous assurer que nous collectons et utilisons ces informations de manière légale et responsable. »
Donc, encore une fois, la défense d’OpenAI contre une accusation d’infraction à la loi sur la protection des données se résume essentiellement à : « Mais nous ne voulions rien dire de mauvais officier ! »
Son explicateur propose également un texte en gras pour souligner une affirmation selon laquelle il n’utilise pas ces données pour créer des profils sur les individus ; les contacter ou leur faire de la publicité ; ou essayer de leur vendre quoi que ce soit. Rien de tout cela n’est pertinent pour la question de savoir si ses activités de traitement de données ont enfreint ou non le RGPD.
L’APD italienne nous a confirmé que son enquête sur cette question importante se poursuit.
Dans sa mise à jour, la Garante note également qu’elle s’attend à ce qu’OpenAI se conforme aux demandes supplémentaires énoncées dans son ordonnance du 11 avril – signalant l’obligation pour elle de mettre en place un système de vérification de l’âge (pour empêcher plus efficacement les mineurs d’accéder au service) ; et de mener une campagne d’information locale pour informer les Italiens de la manière dont il traite leurs données et de leur droit de refuser le traitement de leurs données personnelles pour la formation de ses algorithmes.
« La SA italienne [supervisory authority] reconnaît les avancées réalisées par OpenAI pour concilier les avancées technologiques avec le respect des droits des personnes et espère que l’entreprise poursuivra ses efforts pour se conformer à la législation européenne sur la protection des données », ajoute-t-il, avant de souligner qu’il ne s’agit que d’une première étape. dans cette danse réglementaire.
Par conséquent, toutes les diverses affirmations d’OpenAI comme étant 100 % de bonne foi doivent encore être testées de manière robuste.