OpenAI a été informé qu’il était soupçonné de violer la vie privée de l’Union européenne, à la suite d’une enquête de plusieurs mois sur son chatbot IA, ChatGPT, par l’autorité italienne de protection des données.
Les détails du projet de conclusions de l’autorité italienne n’ont pas été divulgués. Mais le Garante a déclaré aujourd’hui qu’OpenAI avait reçu une notification et avait 30 jours pour répondre aux allégations.
Les violations confirmées du régime paneuropéen peuvent entraîner des amendes allant jusqu’à 20 millions d’euros, soit jusqu’à 4 % du chiffre d’affaires annuel mondial. Plus inconfortable pour un géant de l’IA comme OpenAI, les autorités de protection des données (APD) peuvent émettre des ordonnances exigeant des modifications dans la manière dont les données sont traitées afin de mettre fin aux violations confirmées. Il pourrait donc être contraint de modifier son mode de fonctionnement. Ou retirer son service des États membres de l’UE où les autorités chargées de la protection de la vie privée cherchent à imposer des changements qui ne lui plaisent pas.
OpenAI a été contacté pour une réponse à la notification de violation du Garante. Nous mettrons à jour ce rapport s’ils envoient une déclaration.
Mise à jour: OpenAI a dit :
Nous pensons que nos pratiques sont conformes au RGPD et à d’autres lois sur la confidentialité, et nous prenons des mesures supplémentaires pour protéger les données et la vie privée des personnes. Nous voulons que notre IA découvre le monde, pas les individus. Nous travaillons activement à réduire les données personnelles en formant nos systèmes comme ChatGPT, qui rejette également les demandes d’informations privées ou sensibles sur les personnes. Nous prévoyons continuer à travailler de manière constructive avec le Garante.
Légalité de la formation des modèles d’IA dans le cadre
L’autorité italienne a fait part de ses inquiétudes quant à la conformité d’OpenAI avec le règlement général sur la protection des données (RGPD) du bloc l’année dernière – lorsqu’elle a ordonné une interdiction temporaire du traitement des données locales de ChatGPT, ce qui a conduit à la suspension temporaire du chatbot AI sur le marché.
La disposition du Garante du 30 mars sur OpenAI, alias un « registre de mesures », a souligné à la fois l’absence de base juridique appropriée pour la collecte et le traitement des données personnelles aux fins de formation des algorithmes qui sous-tendent ChatGPT ; et la tendance de l’outil d’IA à « halluciner » (c’est-à-dire son potentiel à produire des informations inexactes sur les individus) – parmi les sujets de préoccupation à ce stade. Il a également signalé la sécurité des enfants comme un problème.
Au total, l’autorité a déclaré soupçonner ChatGPT d’enfreindre les articles 5, 6, 8, 13 et 25 du RGPD.
Malgré l’identification de cette longue liste de violations présumées, OpenAI a pu reprendre le service de ChatGPT en Italie relativement rapidement l’année dernière, après avoir pris des mesures pour résoudre certains problèmes soulevés par la DPA. Toutefois, les autorités italiennes ont déclaré qu’elles poursuivraient leur enquête sur les violations présumées. Nous sommes maintenant parvenus à des conclusions préliminaires selon lesquelles l’outil enfreint le droit de l’UE.
Bien que l’autorité italienne n’ait pas encore indiqué laquelle des violations ChatGPT précédemment suspectées avait été confirmée à ce stade, la base juridique revendiquée par OpenAI pour le traitement des données personnelles afin de former ses modèles d’IA semble être un problème particulièrement crucial.
En effet, ChatGPT a été développé à partir de masses de données récupérées sur l’Internet public – des informations qui incluent des données personnelles d’individus. Et le problème auquel OpenAI est confronté dans l’Union européenne est que le traitement des données des citoyens de l’UE nécessite qu’il ait une base juridique valide.
Le RGPD énumère six bases juridiques possibles, dont la plupart ne sont tout simplement pas pertinentes dans leur contexte. En avril dernier, le Garante a demandé à OpenAI de supprimer les références à « l’exécution d’un contrat » pour la formation du modèle ChatGPT, ce qui ne lui laisse que deux possibilités : le consentement ou les intérêts légitimes.
Étant donné que le géant de l’IA n’a jamais cherché à obtenir le consentement des millions (voire des milliards) d’internautes dont il a ingéré et traité les informations pour la construction de modèles d’IA, toute tentative de prétendre qu’il avait l’autorisation des Européens pour le traitement semblerait voué à l’échec. Et lorsque OpenAI a révisé sa documentation après l’intervention du Garante l’année dernière, il a semblé chercher à s’appuyer sur une revendication d’intérêt légitime. Cependant, cette base juridique exige toujours que le sous-traitant permette aux personnes concernées de soulever une objection et de faire cesser le traitement de leurs informations.
Comment OpenAI pourrait-il y parvenir dans le contexte de son chatbot IA est une question ouverte. (Cela pourrait, en théorie, l’obliger à retirer et à détruire les modèles formés illégalement et à recycler de nouveaux modèles sans que les données de l’individu s’y opposant dans le pool de formation – mais, en supposant qu’il puisse même identifier toutes les données traitées illégalement sur une base individuelle, cela le ferait. nous devons le faire pour les données de chaque personne de l’UE qui s’y oppose et qui lui a dit d’arrêter… Ce qui, euh, semble coûteux.)
Au-delà de cette question épineuse, se pose la question plus large de savoir si le Garante conclura finalement que les intérêts légitimes constituent une base juridique valable dans ce contexte.
Franchement, cela semble peu probable. Parce que LI n’est pas une mêlée générale. Cela exige que les responsables du traitement des données mettent en balance leurs propres intérêts avec les droits et libertés des individus dont les données sont traitées – et qu’ils se demandent notamment si les individus se seraient attendus à cette utilisation de leurs données ; et la possibilité que cela leur cause un préjudice injustifié. (S’ils ne s’y attendaient pas et qu’il existe des risques d’un tel préjudice, la LI ne sera pas considérée comme une base juridique valable.)
Le traitement doit également être nécessaire, sans aucun autre moyen, moins intrusif, permettant au sous-traitant d’atteindre ses objectifs.
Notamment, la plus haute juridiction de l’UE a déjà jugé que les intérêts légitimes constituaient une base inappropriée pour que Meta procède au suivi et au profilage d’individus afin de gérer ses activités de publicité comportementale sur ses réseaux sociaux. Il existe donc un grand point d’interrogation quant à la notion d’un autre type de géant de l’IA cherchant à justifier le traitement des données personnelles à grande échelle pour créer une entreprise commerciale d’IA générative – en particulier lorsque les outils en question génèrent toutes sortes de nouveaux risques pour des individus nommément identifiés (de désinformation et diffamation jusqu’au vol d’identité et à la fraude, pour n’en nommer que quelques-uns).
Un porte-parole de Garante a confirmé que la base juridique du traitement des données des personnes pour la formation des modèles reste dans le mélange de ce que ChatGPT est soupçonné de violer. Mais ils n’ont pas confirmé exactement quel (ou plusieurs) article(s) ils soupçonnent OpenAI d’avoir violé à ce stade.
L’annonce faite aujourd’hui par l’autorité n’est pas non plus le dernier mot, car elle attendra également de recevoir la réponse d’OpenAI avant de prendre une décision finale.
Ici se trouve le Garante déclaration (que nous avons traduite de l’italien à l’aide de l’IA) :
[Italian Data Protection Authority] a notifié OpenAI, la société qui gère la plateforme d’intelligence artificielle ChatGPT, de son avis d’objection pour violation de la réglementation sur la protection des données.
Suite à l’ordonnance provisoire de limitation du traitement, adoptée par le Garantie contre l’entreprise le 30 mars, et à l’issue de l’enquête préliminaire menée, l’Autorité a considéré que les éléments acquis peuvent constituer un ou plusieurs actes illégaux au regard des dispositions du règlement UE.
OpenAI aura 30 jours pour communiquer ses mémoires de défense sur les violations présumées.
Lors de la définition de la procédure, le Garante tiendra compte des travaux en cours du groupe de travail spécial mis en place par le comité qui rassemble les autorités européennes de protection des données (EDPB).
OpenAI fait également l’objet d’un examen minutieux concernant la conformité de ChatGPT au RGPD en Pologne, à la suite d’une plainte l’été dernier qui se concentre sur une instance de l’outil produisant des informations inexactes sur une personne et sur la réponse d’OpenAI à ce plaignant. Cette enquête distincte sur le RGPD reste en cours.
OpenAI, quant à elle, a répondu au risque réglementaire croissant dans l’ensemble de l’UE en cherchant à établir une base physique en Irlande ; et en annonçant, en janvier, que cette entité irlandaise serait désormais le fournisseur de services pour les données des utilisateurs de l’UE.
Ses espoirs avec ces mesures seront d’obtenir le statut d’« établissement principal » en Irlande et de confier l’évaluation de sa conformité au RGPD à la Commission irlandaise de protection des données, via le mécanisme de guichet unique du règlement – plutôt que (comme c’est le cas actuellement) ), ses activités étant potentiellement soumises à la surveillance des DPA partout dans l’Union où ses outils ont des utilisateurs locaux.
Cependant, OpenAI n’a pas encore obtenu ce statut, de sorte que ChatGPT pourrait encore faire l’objet d’autres enquêtes menées par des DPA ailleurs dans l’UE. Et même s’il obtient ce statut, l’enquête et l’application des mesures italiennes se poursuivront dans la mesure où le traitement des données en question est antérieur au changement de sa structure de traitement.
Les autorités de protection des données du bloc ont cherché à coordonner leur surveillance de ChatGPT en mettant en place un groupe de travail chargé d’examiner la manière dont le RGPD s’applique au chatbot, via le Comité européen de la protection des données, comme le note le communiqué du Garante. Cet effort (en cours) pourrait, à terme, produire des résultats plus harmonisés dans le cadre d’enquêtes distinctes sur le RGPD ChatGPT, comme celles menées en Italie et en Pologne.
Toutefois, les autorités restent indépendantes et compétentes pour prendre des décisions sur leurs propres marchés. De même, rien ne garantit que les sondes ChatGPT actuelles parviendront aux mêmes conclusions.