ChatGPT ne serait pas compatible avec le RGPD. D’après une plainte déposée en Pologne contre OpenAI, l’intelligence artificielle générative enfreint plusieurs des lois européennes sur la protection des données personnelles.
OpenAI est accusé d’avoir enfreint le RGPD, le règlement européen sur la protection des données personnelles, entré en vigueur en 2018. Pour Lukasz Olejnik, un chercheur en sécurité et en protection de la vie privée, la start-up derrière ChatGPT viole plusieurs des règles du RGPD concernant notamment la transparence et les droits d’accès aux données collectées. Avec l’aide de ses avocats, l’expert a donc déposé une plainte auprès des autorités polonaises de protection des données.
À lire aussi : Comment OpenAI veut imposer ChatGPT dans les écoles
Plusieurs infractions au RGPD
Contacté par TechCrunch, le chercheur polonais explique s’être rendu compte des violations manifestes de ChatGPT en mars dernier. Lukasz Olejnik a alors voulu se servir du chatbot pour rédiger sa propre biographie. Malheureusement, l’IA s’est rapidement mise à générer des informations erronées sur son compte. L’homme a remarqué une série d’erreurs dans le texte proposé par ChatGPT.
Il est ainsi entré en contact avec OpenAI afin de réclamer des corrections. Surtout, le chercheur a demandé à la start-up de lui fournir la liste de toutes les informations collectées sur son compte. Le RGPD prévoit en effet qu’un internaute soit prévenu quand des données le concernant sont aspirées par le biais de moyens externes, comme des partenaires commerciaux. L’article 14 du RGPD est clair sur ce point.
Sur demande de l’utilisateur, OpenAI doit par exemple pouvoir communiquer « l’identité et les coordonnées du responsable du traitement », les « finalités du traitement » des données, et « la durée pendant laquelle les données à caractère personnel seront conservées ». Ces informations doivent être transmises à l’utilisateur « dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois ».
ChatGPT est-il incompatible avec le RGPD ?
Par courriel, OpenAI a fourni une partie des informations exigées par la loi à Lukasz Olejnik. Dans sa plainte, le chercheur regrette que toutes les données légalement obligatoires n’aient pas été divulguées. Surtout, OpenAI a omis de préciser que les données personnelles d’Olejnik se sont retrouvées dans le corpus d’entraînement du modèle linguistique GPT. La start-up s’appuie en effet sur une immense base de données pour entraîner son modèle d’IA.
C’est sur ces données que le machine learning, ou apprentissage automatique en français, repose. Cette technologie permet à l’IA d’évoluer sans l’intervention d’un programmeur, uniquement en apprenant des données aspirées. En l’occurrence, GPT évolue constamment en s’enrichissant des requêtes des utilisateurs et du corpus initial communiqué par OpenAI.
Dans sa plainte, le chercheur accuse donc la société américaine d’avoir enfreint l’article 5 du RGPD, qui prévoit que les données soient « collectées pour des finalités déterminées, explicites et légitimes » et en toute transparence. L’expert ajoute qu’OpenAI se comporte d’une manière « peu digne de confiance, malhonnête et peut-être inconsciente » en passant sous silence le destin des données personnelles collectées.
« Il semble qu’OpenAI ignore systématiquement les dispositions du RGPD concernant le traitement des données aux fins des modèles de formation au sein de ChatGPT », avance la plainte, consultée par TechCrunch.
La firme dirigée par Sam Altman ne communique « aucune information sur les opérations de traitement » des données, ce qui contrevient à l’article 15 du RGPD. Ce point précise que « la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux dites données à caractère personnel ». Les informations délivrées par mail à Lukasz Olejnik ne comprenaient malheureusement pas ces précisions.
Notez qu’OpenAI n’a pas sollicité la permission des individus dont les données personnelles ont été utilisées pour entraîner son chatbot. C’est probablement pourquoi la société peine à répondre à certains des points du RGPD. Enfin, OpenAI s’est dit dans l’impossibilité de corriger les erreurs de ChatGPT concernant Olejnik. Le chatbot, comme toutes les IA génératives, peut régulièrement se tromper en inventant des informations de toutes pièces. Malheureusement pour OpenAI, le RGPD stipule qu’un utilisateur doit pouvoir réclamer la correction de ses données.
Finalement, le fonctionnement même d’un modèle d’IA semble en inadéquation avec la loi en vigueur en Europe. La plainte assure qu’OpenAI en a bien conscience et « est d’accord avec cet état de fait ». L’enquête des autorités polonaises pourrait prendre de six mois à deux ans, indique l’avocat d’Olejnik.
Pour mémoire, ce n’est pas la première fois que ChatGPT est épinglé concernant sa gourmandise en matière de données. Les agences de protection de données d’Europe se sont rapidement penchées sur l’IA peu après son lancement. L’Italie a même brièvement exclu ChatGPT sur son territoire, assurant qu’il représentait une menace pour la vie privée. Après avoir consenti à des changements, OpenAI a pu revenir sur le sol italien. De son côté, la France évite de se montrer sévère, et refuse d’envisager une exclusion, en dépit des plaintes reçues par la CNIL.
Source :
TechCrunch