Quand il est question de la protection des données personnelles, l’Union européenne se montre intransigeante. Depuis la mise en place du Règlement général sur la protection des données (RGPD) en 2018, elle multiplie les législations pour encadrer les technologies et les services Internet sur son territoire. OpenAI, avec le succès de ChatGPT, son grand modèle de langage est particulièrement scruté par les États membres. La Pologne est le dernier pays en date à avoir lancé une enquête sur l’entreprise à la suite de la plainte d’un chercheur en sécurité et la protection de la vie privée.
Quels manquements pour ChatGPT ?
Dans son document, consulté par TechCrunch, rempli auprès du Bureau de la protection des données personnelles polonais, Lukasz Olejnik démontre les différents articles enfreints par ChatGPT. L’article 5(1)(a) obligeant OpenAI à traiter les données de manière licite, loyale et transparente ; l’article 12 sur la transparence des informations et des communications et modalités de l’exercice des droits des personnes concernées ; l’article 15 et 16 vis-à-vis du droit d’accès et de rectification des données par les intéressés et l’article 25(1) visant à garantir des mesures de protection des données dès la conception du service.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
My complaint on OpenAI is delivered to the Data Protection Authority. Good stuff in it. Based on concrete issues. I’m grateful to GP Partners law firm (https://t.co/lnh2VSwIR7, probably best law firm in the area) for crafting a very good line of argumentation. More details soon!
— Lukasz Olejnik (@LukaszOlejnik@Mastodon.Social) (@lukOlejnik) August 29, 2023
L’affaire a débuté lorsque le chercheur a demandé à ChatGPT une biographie de lui-même. Cette dernière comportant de nombreuses erreurs, Lukasz Olejnik a demandé à OpenAI de lui fournir des informations sur la façon dont les données le concernant ont été récupérées et traitées. Il a ensuite demandé une correction des fautes, en vain. Le groupe basé à San Francisco n’a pas su « l’informer correctement du traitement de ses données à caractère personnel » et n’a pas « fourni réellement d’informations sur les opérations de traitement de ces données ».
Des manquements qui font écho à ceux relevés par l’Italie en mars, amenant le pays à bloquer le service sur son territoire. Pour se mettre en conformité, OpenAI avait introduit un mode confidentiel, entraînant la suppression des données récoltées, et mis à jour leurs conditions sur l’exploitation des informations de leurs clients ayant recours à des API.
Un problème de design ?
Des changements insuffisants pour Aurore Bonavia, avocate au barreau du Val-d’Oise, pour qui il reste « la question de la finalité des données, de leur traitement et de leur minimisation » en ne récupérant que les données utiles. Elle ajoute qu’OpenAi doit s’assurer que ses utilisateurs puissent « faire rectifier leurs données et savoir où elles vont ».
Le problème de ChatGPT pourrait venir directement de la manière dont il a été conçu. Pour l’experte du RGPD, c’est parce que le service est loin « du principe de “Privacy By Design” qui nécessite de concevoir des solutions, des applications en ayant en tête la notion de RGPD ». En d’autres termes, au moment de concevoir leur produit, les sociétés font en sorte de ne récupérer que les données essentielles à son fonctionnement.
Pour se plier aux exigences de l’Union européenne, OpenAI n’est pas obligé de reconstruire entièrement ChatGPT. « Ils peuvent toujours changer et modifier leurs outils » explique Aurore Bonavia à Siècle Digital, « ce n’est pas intangible ». Le mastodonte américain devra toutefois répondre aux nombreuses plaintes, dont celle d’un député français, pour comprendre ce qui lui est reproché et effectuer les modifications nécessaires.