La CNIL italienne a infligé une amende de 5 millions d’euros à la start-up américaine à l’origine de l’outil d’IA Replika : cette dernière n’a pas respecté les règles du règlement européen qui protège les données personnelles.
Après ChatGPT et DeepSeek, c’est au tour de Replika, un chatbot d’intelligence artificielle (IA) développé par la société Luka Inc, d’être dans le collimateur de la « Garante » en Italie. L’autorité en charge de la défense de la vie privée dans le pays – équivalente à la CNIL française – a sanctionné l’entreprise américaine à hauteur de 5 millions d’euros. En parallèle, elle annonce, dans un communiqué publié ce lundi 19 mai, ouvrir une nouvelle enquête qui concerne l’utilisation et le traitement des données personnelles pendant le développement et l’entraînement de l’outil d’IA.
Replika, moins connu que ChatGPT, est un outil d’IA qui est présenté comme un « ami virtuel », pouvant améliorer le bien-être de ses utilisateurs. Lancé en 2017 avant d’être boosté à l’IA, ce dernier peut prendre différents profils, dont celui de confident, de thérapeute, voire de partenaire amoureux. Le chatbot personnalisé avait été épinglé en 2023 après que des utilisateurs sont tombés amoureux de leur « ami virtuel ».
À lire aussi : IA : des internautes sont tombés amoureux d’un chatbot… et ça s’est mal terminé
Pas de vérification d’âge des utilisateurs
Et pour la CNIL italienne, l’entreprise à l’origine de Replika ne s’est pas conformée au règlement européen qui protège les données personnelles, le RGPD : elle doit donc payer l’amende de 5 millions d’euros, et prendre des mesures adéquates pour respecter cette loi européenne. Dans son communiqué, l’autorité note qu’en février 2023, la société américaine n’avait pas choisi une « base juridique » avant de collecter des données personnelles – il s’agit pourtant d’un prérequis imposé par le règlement européen sur les données personnelles, le RGPD. Deuxième problème : ses règles en matière de confidentialité sont, selon l’autorité italienne, « inadéquates ».
Troisième grief : la société n’avait pas non plus prévu, en février 2023, de mécanisme de vérification de l’âge des utilisateurs, ni au moment de l’inscription au service, ni pendant son utilisation, note la CNIL italienne. Pourtant, Luka Inc. déclarait exclure les mineurs de ses services. Et depuis, le système continue de présenter des lacunes, écrit la Garante.
Une nouvelle enquête ouverte
En parallèle, la Garante a ouvert une nouvelle enquête : elle souhaite notamment avoir davantage d’informations sur « les mesures adoptées pour protéger les données au cours des différentes phases de développement et de formation du modèle linguistique sous-jacent à Replika, les types et catégories de données utilisées et la mise en œuvre éventuelle de mesures d’anonymisation ou de pseudonymisation », écrit-elle.
En Europe, la Garante est l’une des autorités de protection des données personnelles les plus actives. Cette dernière avait déjà enquêté sur DeepSeek, l’IA chinoise qui a littéralement effrayé les géants américains du secteur, lors de son lancement en janvier dernier. ChatGPT, l’agent conversationnel d’OpenAI, avait été aussi scruté de près par ses services. En 2024, l’entreprise de Sam Altman avait été condamnée à payer une amende encore plus salée – 15 millions d’euros – pour ne pas avoir respecté le RGPD. Le chatbot avait même été interdit dans le pays, pendant quatre semaines, en avril 2023. Le garant de la vie privée des Italiens avait estimé qu’OpenAI utilisait les données personnelles d’utilisateurs de ChatGPT pour entrainer ses modèles d’IA générative… sans leur autorisation.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Communiqué de la Garante (italien)