Alors que la majeure partie de l’Europe était encore plongée dans la boîte de sélection de chocolats de Noël à la fin du mois dernier, le fabricant de ChatGPT, OpenAI, était occupé à envoyer un e-mail contenant des détails sur une mise à jour entrante de ses conditions qui semble destinée à réduire son risque réglementaire dans l’Union européenne.
La technologie du géant de l’IA a fait l’objet d’un examen minutieux dans la région en raison de l’impact de ChatGPT sur la vie privée des personnes – avec un certain nombre d’enquêtes ouvertes sur des problèmes de protection des données liés à la manière dont le chatbot traite les informations des personnes et les données qu’il peut générer sur les individus, y compris celles provenant des chiens de garde. Italie et Pologne. (L’intervention de l’Italie a même déclenché une suspension temporaire de ChatGPT dans le pays jusqu’à ce qu’OpenAI révise les informations et les contrôles qu’il fournit aux utilisateurs.)
« Nous avons changé le OpenAI entité qui fournit des services tels que ChatGPT aux résidents de l’EEE et de la Suisse à notre entité irlandaise, OpenAI Ireland Limited », a écrit OpenAI dans un e-mail aux utilisateurs envoyé le 28 décembre.
Une mise à jour parallèle de la politique de confidentialité d’OpenAI pour l’Europe stipule en outre :
Si vous résidez dans l’Espace économique européen (EEE) ou en Suisse, OpenAI Ireland Limited, dont le siège social est situé au 1er étage, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlande, est le responsable du traitement et est responsable du traitement de vos données personnelles comme décrit dans la présente politique de confidentialité.
Les nouvelles conditions d’utilisation désignant sa filiale basée à Dublin récemment créée en tant que responsable du traitement des données pour les utilisateurs de l’Espace économique européen (EEE) et de la Suisse, où le règlement général sur la protection des données (RGPD) du bloc est en vigueur, commenceront à s’appliquer en février. 15 2024.
Les utilisateurs sont informés que s’ils ne sont pas d’accord avec les nouvelles conditions d’OpenAI, ils peuvent supprimer leur compte.
Le mécanisme de guichet unique (OSS) du RGPD permet aux entreprises qui traitent les données des Européens de rationaliser la surveillance de la vie privée sous un contrôle unique des données situé dans un État membre de l’UE – où elles sont « principalement établies », comme le dit le jargon réglementaire. .
L’obtention de ce statut réduit effectivement la capacité des organismes de surveillance de la vie privée situés ailleurs dans le bloc à agir unilatéralement en réponse aux préoccupations. Au lieu de cela, ils renvoyaient généralement les plaintes au superviseur principal de la principale entreprise établie pour examen.
D’autres régulateurs du RGPD conservent toujours le pouvoir d’intervenir localement s’ils constatent des risques urgents. Mais ces interventions sont généralement temporaires. Ils sont également exceptionnels par nature, l’essentiel de la surveillance du RGPD étant acheminé via une autorité chef de file. C’est pourquoi ce statut s’est avéré si attrayant pour les Big Tech – permettant aux plateformes les plus puissantes de rationaliser la surveillance de la confidentialité de leur traitement transfrontalier de données personnelles.
Lorsqu’on lui a demandé si OpenAI travaillait avec l’organisme irlandais de surveillance de la vie privée pour obtenir le statut d’établissement principal pour son entité basée à Dublin, dans le cadre de l’OSS du RGPD, une porte-parole de la Commission irlandaise de protection des données (DPC) a déclaré à TechCrunch : « Je peux confirmer qu’Open AI a été engagé. avec la DPC et d’autres DPA de l’UE [data protection authorities] sur ce sujet. »
OpenAI a également été contacté pour commentaires.
Le géant de l’IA a ouvert un bureau à Dublin en septembre, embauchant initialement une poignée de membres du personnel politique, juridique et chargé de la vie privée, en plus de certains rôles de back-office.
Au moment de la rédaction de cet article, il n’y a que cinq postes vacants basés à Dublin sur un total de 100 répertoriés sur sa page Carrières, de sorte que l’embauche locale semble encore limitée. Un responsable de la politique et des partenariats des États membres de l’UE, basé à Bruxelles, recrute également actuellement et demande aux candidats de préciser s’ils sont disponibles pour travailler depuis le bureau de Dublin trois jours par semaine. Mais la grande majorité des postes vacants du géant de l’IA sont répertoriés comme basés à San Francisco/États-Unis.
L’un des cinq postes basés à Dublin annoncés par OpenAI est celui d’un ingénieur logiciel de confidentialité. Les quatre autres sont destinés : au directeur de compte, plateforme ; spécialiste de la paie internationale ; relations avec les médias, direction européenne ; et ingénieur commercial.
Qui et combien d’embauches OpenAI effectue à Dublin sera pertinent pour obtenir le statut d’établissement principal en vertu du RGPD, car il ne s’agit pas simplement de remplir quelques documents juridiques et de cocher une case pour obtenir le statut. L’entreprise devra convaincre les régulateurs de la vie privée du bloc que l’entité basée dans un État membre qu’elle désigne comme légalement responsable des données des Européens est réellement en mesure d’influencer la prise de décision à son sujet.
Cela signifie disposer de l’expertise et des structures juridiques appropriées pour exercer une influence et mettre en place des contrôles de confidentialité significatifs sur une société mère américaine.
En d’autres termes, ouvrir un front office à Dublin qui se contenterait d’approuver les décisions relatives aux produits prises à San Francisco ne devrait pas suffire.
Cela dit, OpenAI s’intéresse peut-être à l’exemple de X, l’entreprise anciennement connue sous le nom de Twitter, qui a secoué toutes sortes de bateaux après un changement de propriétaire à l’automne 2022. Mais n’a pas réussi à sortir de l’OSS depuis Elon Musk. a pris le relais – bien que le propriétaire milliardaire erratique ait frappé à coups de hache l’effectif régional de X, chassant l’expertise pertinente et prenant ce qui semble être des décisions de produit extrêmement unilatérales. (Alors, eh bien, allez comprendre.)
Si OpenAI obtient le statut de principal établissement du RGPD en Irlande, obtenant la supervision principale du DPC irlandais, il rejoindra Apple, Google, Meta, TikTok et X, pour ne citer que quelques-unes des multinationales qui ont choisi de s’établir dans l’UE. Dublin.
Le DPC, quant à lui, continue de susciter de nombreuses critiques quant au rythme et à la cadence de sa surveillance des géants technologiques locaux par le RGPD. Et même si ces dernières années ont vu un certain nombre de sanctions qui ont fait la une des médias contre les grandes entreprises technologiques, elles ont finalement été imposées en Irlande. Les critiques soulignent que le régulateur préconise souvent des sanctions nettement inférieures à celles de ses pairs. D’autres critiques incluent le rythme glacial et/ou la trajectoire inhabituelle des enquêtes de la DPC. Ou encore des cas où il choisit de ne pas enquêter du tout sur une plainte, ou choisit de la recadrer d’une manière qui contourne la principale préoccupation (sur cette dernière, voir, par exemple, cette plainte Google AdTech).
Toute enquête GDPR existante sur ChatGPT, comme par les régulateurs en Italie et en Pologne, peut encore avoir des conséquences en termes de façonnage de la réglementation régionale du chatbot d’IA générative d’OpenAI, car les enquêtes sont susceptibles de suivre leur cours étant donné qu’elles concernent le traitement des données antérieur à tout futur principal. statut d’établissement que le géant de l’IA pourrait acquérir. Mais l’impact qu’ils pourraient avoir est moins clair.
Pour rappel, le régulateur italien de la confidentialité a examiné une longue liste de préoccupations concernant ChatGPT, y compris la base juridique sur laquelle s’appuie OpenAI pour traiter les données des personnes afin de former ses IA. Tandis que l’organisme de surveillance polonais a ouvert une enquête à la suite d’une plainte détaillée concernant ChatGPT – notamment sur la manière dont le robot IA hallucine (c’est-à-dire fabrique) des données personnelles.
Notamment, la politique de confidentialité européenne mise à jour d’OpenAI comprend également plus de détails sur les bases juridiques qu’elle revendique pour le traitement des données des personnes – avec une nouvelle formulation qui exprime sa prétention de s’appuyer sur une base juridique d’intérêts légitimes pour traiter les données des personnes pour la formation du modèle d’IA comme étant « nécessaire pour nos intérêts légitimes et ceux des tiers et de la société en général» [emphasis ours].
Alors que la politique de confidentialité actuelle d’OpenAI contient la ligne beaucoup plus sèche sur cet élément de sa prétendue base juridique : « Nos intérêts légitimes à protéger nos services contre les abus, la fraude ou les risques de sécurité, ou à développer, améliorer ou promouvoir nos services, y compris lorsque nous formons nos modèles.
Cela suggère qu’OpenAI pourrait avoir l’intention de chercher à défendre sa vaste collecte sans consentement de données personnelles des utilisateurs d’Internet à des fins d’IA générative auprès des régulateurs européens de la vie privée concernés en présentant une sorte d’argument d’intérêt public en faveur de cette activité, en plus du sien (commercial). intérêts. Cependant, le RGPD dispose d’un ensemble strictement limité de (six) bases juridiques valides pour le traitement des données personnelles ; les contrôleurs de données ne peuvent pas simplement jouer à un mélange de bits de cette liste pour inventer leur propre justification sur mesure.
Il convient également de noter que les organismes de surveillance du RGPD ont déjà tenté de trouver un terrain d’entente sur la manière de s’attaquer à l’intersection délicate de la loi sur la protection des données et de l’IA alimentée par le Big Data via un groupe de travail mis en place l’année dernière au sein du Comité européen de la protection des données. Il reste toutefois à voir si un consensus émergera du processus. Et étant donné la décision d’OpenAI d’établir désormais une entité juridique à Dublin en tant que contrôleur des données des utilisateurs européens, à terme, l’Irlande pourrait bien avoir son mot à dire dans la direction à suivre en matière d’IA générative et de droits à la vie privée.
Si le DPC devient le superviseur principal d’OpenAI et aurait la capacité, par exemple, de ralentir le rythme de toute application du RGPD sur la technologie en évolution rapide.
Déjà, en avril dernier, à la suite de l’intervention italienne sur ChatGPT, l’actuelle commissaire du DPC, Helen Dixon, avait mis en garde contre les organismes de surveillance de la vie privée qui se précipiteraient pour interdire la technologie en raison de problèmes de données – affirmant que les régulateurs devraient prendre le temps de trouver comment appliquer la protection des données du bloc. loi sur les IA.
Remarque : les utilisateurs britanniques sont exclus du transfert de la base juridique d’OpenAI vers l’Irlande, la société précisant qu’ils relèvent de la compétence de sa société américaine basée à Delware. (Depuis le Brexit, le RGPD de l’UE ne s’applique plus au Royaume-Uni – bien qu’il conserve son propre RGPD britannique dans le droit national, un règlement sur la protection des données qui est toujours historiquement basé sur le cadre européen, qui est appelé à changer à mesure que le Royaume-Uni s’écarte du bloc. la référence en matière de protection des données via le projet de loi de « réforme des données » qui dilue les droits et qui est actuellement soumis au Parlement.)