L’organisme italien de surveillance de la protection des données a expliqué ce qu’OpenAI doit faire pour qu’il lève une ordonnance contre ChatGPT émise à la fin du mois dernier – lorsqu’il a déclaré qu’il soupçonnait que le service de chatbot d’IA enfreignait le règlement général sur la protection des données (RGPD) de l’UE. et a ordonné à la société basée aux États-Unis de cesser de traiter les données des habitants.
Le GDPR de l’UE s’applique chaque fois que des données personnelles sont traitées, et il ne fait aucun doute que de grands modèles de langage tels que le GPT d’OpenAI ont récupéré de grandes quantités de choses sur Internet public afin de former leurs modèles d’IA génératifs pour pouvoir répondre de manière humaine. comme moyen d’invites en langage naturel.
OpenAI a répondu à l’ordre de l’autorité italienne de protection des données en bloquant rapidement l’accès à ChatGPT. Dans une brève déclaration publique, le PDG d’OpenAI, Sam Altman, a également tweeté confirmation qu’il avait cessé d’offrir le service en Italie – le faisant parallèlement à la mise en garde habituelle de Big Tech selon laquelle il « pense[s] nous respectons toutes les lois sur la confidentialité.
L’Italien Garante a évidemment un point de vue différent.
La version courte de la nouvelle demande de conformité du régulateur est la suivante : OpenAI devra faire preuve de transparence et publier une note d’information détaillant son traitement des données ; il doit immédiatement adopter une restriction d’âge pour empêcher les mineurs d’accéder à la technologie et passer à des mesures de vérification de l’âge plus robustes ; il doit clarifier la base juridique qu’il revendique pour le traitement des données des personnes pour la formation de son IA (et ne peut pas compter sur l’exécution d’un contrat – ce qui signifie qu’il doit choisir entre le consentement ou les intérêts légitimes) ; il doit également fournir des moyens aux utilisateurs (et aux non-utilisateurs) d’exercer leurs droits sur leurs données personnelles, y compris en demandant des corrections de la désinformation générée à leur sujet par ChatGPT (ou faire supprimer leurs données) ; il doit également fournir aux utilisateurs la possibilité de s’opposer au traitement par OpenAI de leurs données pour la formation de ses algorithmes ; et il doit mener une campagne de sensibilisation locale pour informer les Italiens qu’il traite leurs informations pour former ses IA.
La DPA a donné à OpenAI une date limite – le 30 avril – pour en faire la majeure partie. (La campagne de sensibilisation locale à la radio, à la télévision et sur Internet a un calendrier légèrement plus généreux du 15 mai pour être mise en œuvre.)
Il y a aussi un peu plus de temps pour l’exigence supplémentaire de migrer de la technologie de sécurité des enfants immédiatement requise (mais faible) vers un système de vérification de l’âge plus difficile à contourner. OpenAI a eu jusqu’au 31 mai pour soumettre un plan de mise en œuvre de la technologie de vérification de l’âge afin de filtrer les utilisateurs de moins de 13 ans (et les utilisateurs âgés de 13 à 18 ans qui n’avaient pas obtenu le consentement parental) – avec la date limite pour mettre en place ce système plus robuste. au 30 septembre.
Dans un communiqué de presse détaillant ce qu’OpenAI doit faire pour lever la suspension temporaire de ChatGPT, ordonnée il y a deux semaines lorsque le régulateur a annoncé qu’il ouvrait une enquête officielle sur les violations présumées du RGPD, il écrit :
OpenAI devra se conformer d’ici le 30 avril aux mesures prévues par la SA italienne [supervisory authority] concernant la transparence, le droit des personnes concernées — y compris les utilisateurs et les non-utilisateurs — et la base juridique du traitement pour la formation algorithmique reposant sur les données des utilisateurs. Ce n’est que dans ce cas que la SA italienne lèvera sa commande qui a limité temporairement le traitement des données des utilisateurs italiens, l’urgence sous-tendant la commande n’étant plus présente, de sorte que ChatGPT sera à nouveau disponible depuis l’Italie.
Entrant plus en détail sur chacune des « mesures concrètes » requises, la DPA stipule que la notice d’information obligatoire doit décrire « les modalités et la logique du traitement des données nécessaires au fonctionnement de ChatGPT ainsi que les droits accordés aux personnes concernées (utilisateurs et non-utilisateurs) », ajoutant qu’il « devra être facilement accessible et placé de manière à pouvoir être lu avant de souscrire au service ».
Les utilisateurs d’Italie doivent recevoir cet avis avant de s’inscrire et confirmer également qu’ils ont plus de 18 ans, cela l’exige en outre. Alors que les utilisateurs qui se sont inscrits avant l’ordonnance d’arrêt du traitement des données de la DPA devront voir l’avis lorsqu’ils accéderont au service réactivé et devront également être poussés à travers une barrière d’âge pour filtrer les utilisateurs mineurs.
Sur la question de la base juridique attachée au traitement par OpenAI des données des personnes pour la formation de ses algorithmes, la Garante a réduit les options disponibles à deux : consentement ou intérêts légitimes – stipulant qu’elle doit supprimer immédiatement toute référence à l’exécution d’un contrat « conformément à le [GDPR’s] principe de responsabilité. (La politique de confidentialité d’OpenAI cite actuellement les trois motifs, mais semble s’appuyer le plus sur l’exécution d’un contrat pour la fourniture de services comme ChatGPT.)
« Cela sera sans préjudice de l’exercice des pouvoirs d’enquête et d’exécution de la SA à cet égard », ajoute-t-il, confirmant qu’il retient son jugement sur la question de savoir si les deux motifs restants peuvent également être utilisés légalement aux fins d’OpenAI.
De plus, le GDPR fournit aux personnes concernées une série de droits d’accès, y compris un droit de correction ou de suppression de leurs données personnelles. C’est pourquoi le régulateur italien a également exigé qu’OpenAI mette en place des outils permettant aux personnes concernées – c’est-à-dire à la fois les utilisateurs et les non-utilisateurs – d’exercer leurs droits et de faire rectifier les faussetés que le chatbot génère à leur sujet. Ou, si la correction des mensonges générés par l’IA sur des personnes nommées s’avère «techniquement irréalisable», la DPA stipule que l’entreprise doit fournir un moyen de supprimer leurs données personnelles.
« OpenAI devra mettre à disposition des outils facilement accessibles pour permettre aux non-utilisateurs d’exercer leur droit d’opposition au traitement de leurs données personnelles tel qu’il est invoqué pour le fonctionnement des algorithmes. Le même droit devra être accordé aux utilisateurs si l’intérêt légitime est choisi comme base juridique pour le traitement de leurs données », ajoute-t-il, faisant référence à un autre des droits que le RGPD accorde aux personnes concernées lorsque l’intérêt légitime est invoqué comme base juridique pour le traitement. données personnelles.
Toutes les mesures annoncées par le Garante sont des éventualités, basées sur ses préoccupations préliminaires. Et son communiqué note que ses enquêtes formelles — « pour établir d’éventuelles infractions à la législation » — se poursuivent et pourraient l’amener à décider de prendre « des mesures complémentaires ou différentes si cela s’avérait nécessaire à l’issue de l’enquête en cours. ”
Nous avons contacté OpenAI pour obtenir une réponse, mais la société n’avait pas répondu à notre e-mail au moment de mettre sous presse.