OpenAI fait face à une autre plainte relative à la confidentialité dans l’Union européenne. Celui-ci, qui a été déposé par l’organisation à but non lucratif noyb pour le droit à la vie privée au nom d’un plaignant individuel, cible l’incapacité de son chatbot IA ChatGPT à corriger les informations erronées qu’il génère sur les individus.
La tendance des outils GenAI à produire des informations tout simplement fausses est bien documentée. Mais cela place également la technologie sur une trajectoire de collision avec le règlement général sur la protection des données (RGPD) du bloc, qui régit la manière dont les données personnelles des utilisateurs régionaux peuvent être traitées.
Les pénalités en cas de non-conformité au RGPD peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial. Plus important encore pour un géant riche en ressources comme OpenAI : les régulateurs de la protection des données peuvent ordonner des modifications dans la manière dont les informations sont traitées, de sorte que l’application du RGPD pourrait remodeler la manière dont les outils d’IA générative peuvent fonctionner dans l’UE.
OpenAI a déjà été contraint d’apporter quelques changements après une intervention précoce de l’autorité italienne de protection des données, qui a brièvement forcé la fermeture locale de ChatGPT en 2023.
Noyb dépose désormais la dernière plainte RGPD contre ChatGPT auprès de l’autorité autrichienne de protection des données au nom d’un plaignant anonyme (décrit comme une « personnalité publique ») qui a découvert que le chatbot IA leur avait donné une date de naissance incorrecte.
En vertu du RGPD, les citoyens de l’UE disposent d’un ensemble de droits liés aux informations les concernant, notamment le droit de faire corriger les données erronées. noyb soutient qu’OpenAI ne respecte pas cette obligation en ce qui concerne les résultats de son chatbot. Elle a indiqué que l’entreprise avait refusé la demande du plaignant de rectifier la date de naissance incorrecte, répondant qu’il lui était techniquement impossible de la corriger.
Au lieu de cela, il a proposé de filtrer ou de bloquer les données sur certaines invites, comme le nom du plaignant.
La politique de confidentialité d’OpenAI indique que les utilisateurs qui remarquent que le chatbot AI a généré des « informations factuelles inexactes sur vous » peuvent soumettre une « demande de correction » via Privacy.openai.com ou en envoyant un e-mail à [email protected]. Cependant, il met en garde cette ligne en avertissant : « Étant donné la complexité technique du fonctionnement de nos modèles, nous ne serons peut-être pas en mesure de corriger l’inexactitude dans chaque cas. »
Dans ce cas, OpenAI suggère aux utilisateurs de demander qu’il supprime entièrement leurs informations personnelles de la sortie de ChatGPT – en remplissant un formulaire Web.
Le problème pour le géant de l’IA est que les droits du RGPD ne sont pas à la carte. Les citoyens européens ont le droit de demander une rectification. Ils ont également le droit de demander la suppression de leurs données. Mais, comme le souligne Noyb, ce n’est pas à OpenAI de choisir lesquels de ces droits sont disponibles.
D’autres éléments de la plainte se concentrent sur les problèmes de transparence du RGPD, Noyb affirmant qu’OpenAI est incapable de dire d’où proviennent les données qu’il génère sur les individus, ni quelles données le chatbot stocke sur les personnes.
Ceci est important car, encore une fois, le règlement donne aux individus le droit de demander de telles informations en effectuant ce que l’on appelle une demande d’accès au sujet (SAR). En fait, OpenAI n’a pas répondu de manière adéquate au SAR du plaignant, ne divulguant aucune information sur les données traitées, leurs sources ou leurs destinataires.
Commentant la plainte dans un communiqué, Maartje de Graaf, avocat spécialisé en protection des données chez noyb, a déclaré : « Inventer de fausses informations est en soi assez problématique. Mais lorsqu’il s’agit de fausses informations sur des individus, les conséquences peuvent être graves. Il est clair que les entreprises ne sont actuellement pas en mesure de faire en sorte que les chatbots comme ChatGPT soient conformes au droit de l’UE lorsqu’ils traitent des données sur des individus. Si un système ne peut pas produire des résultats précis et transparents, il ne peut pas être utilisé pour générer des données sur les individus. C’est la technologie qui doit respecter les exigences légales, et non l’inverse.
La société a déclaré qu’elle demandait à l’APD autrichienne d’enquêter sur la plainte concernant le traitement des données d’OpenAI, et l’exhortait à imposer une amende pour garantir la conformité future. Mais il a ajouté qu’il est « probable » que l’affaire soit traitée via la coopération de l’UE.
OpenAI fait face à une plainte très similaire en Pologne. En septembre dernier, l’autorité locale de protection des données a ouvert une enquête sur ChatGPT suite à la plainte d’un chercheur en matière de confidentialité et de sécurité qui a également constaté qu’il n’était pas en mesure de faire corriger des informations incorrectes le concernant par OpenAI. Cette plainte accuse également le géant de l’IA de ne pas avoir respecté les exigences de transparence du règlement.
L’autorité italienne de protection des données mène quant à elle toujours une enquête ouverte sur ChatGPT. En janvier, il a présenté un projet de décision dans lequel il estimait qu’OpenAI avait violé le RGPD de plusieurs manières, notamment en ce qui concerne la tendance du chatbot à produire des informations erronées sur les personnes. Les conclusions portent également sur d’autres questions cruciales, telles que la licéité du traitement.
L’autorité italienne a donné un mois à OpenAI pour répondre à ses conclusions. Une décision finale reste en attente.
Aujourd’hui, avec une autre plainte RGPD déposée contre son chatbot, le risque qu’OpenAI soit confronté à une série d’applications du RGPD dans différents États membres s’est accru.
L’automne dernier, la société a ouvert un bureau régional à Dublin – dans le but de réduire son risque réglementaire en faisant acheminer les plaintes relatives à la vie privée par la Commission irlandaise de protection des données, grâce à un mécanisme du RGPD destiné à rationaliser la surveillance des plaintes transfrontalières. en les dirigeant vers une seule autorité de l’État membre où l’entreprise est « principalement établie ».