Intelligence artificielle, ChatGPT et RGPD

24/7/2023

L'intelligence artificielle (IA) et le Règlement général sur la protection des données (RGPD) européen soulèvent des questions cruciales concernant la protection des données personnelles.

L'arrivée fracassante de ChatGPT est l'occasion de s'interroger une fois de plus sur l'impact de la technologie sur la protection des données personnelles et, in fine, le droit au respect de la vie privée.

Et pour cause, les autorités européennes se sont déjà emparées de ce sujet puisque l'Italie a récemment interdit temporairement ChatGPT sur son territoire dans l'attente d'informations supplémentaires concernant la manière dont l'outil traite les données personnelles de ses utilisateurs.

Revenons sur les grands principes du RGPD (1) et leur difficile conciliation avec ChatGPT (2).

1 - Rappel des grands principes du RGPD et de l'IA

Le Règlement Général sur la Protection des Données (RGPD) a pour objectifs de renforcer les droits des individus sur leurs données personnelles et de responsabiliser les acteurs dans les traitements de ces données. En pratique, ces objectifs ont une traduction très concrète pour les organismes.

Le droit des personnes sur leurs données personnelles

Comme évoqué plus haut, le RGPD impose aux organismes que chaque individu conserve la maîtrise de ses données personnelles.

1. Les personnes concernées doivent être valablement informées de leurs droits et de l'utilisation qui est faite de leurs données (article 12 RGPD et 13 RGPD).

Ce premier droit à l'information est un prérequis car sans information sur leurs droits et le traitement de leurs données personnelles, les individus ne peuvent pas les exercer. Cela implique qu'une politique de confidentialité informe les personnes concernées des éléments suivants :

  • Ce qui est collecté par l'organisme,
  • Pour combien de temps,
  • En vertu de quel fondement juridique,
  • Pour quel objectif et comment ces données sont sécurisées,
  • Quels sont les droits que les individus peuvent exercer (développé ci-dessous)
  • Et la manière dont ils peuvent les exercer, par exemple via un portail dédié ou par le contact du délégué à la protection des données personnelles (DPO).

2. Les personnes concernées doivent pouvoir exercer leurs droits sur leurs données à tout moment (article 15, 16, 17, 20 et 21 du RGPD).

Le RGPD prévoit plusieurs droits à disposition des personnes :

  • Le droit d'accéder à leurs données personnelles
  • Le droit de demander une rectification de ces données,
  • Le droit de s'opposer à l'utilisation qui en est faite,
  • Le droit de demander la suppression de leurs données personnelles,
  • Et le droit d'obtenir une copie de ces données.

À tout moment, l'organisme doit mettre à disposition les moyens nécessaires pour faciliter l'exercice de ces droits.

Les règles d'utilisation des données personnelles par l'organisme

À toute étape du cycle de vie d'une donnée, l'organisme doit être vigilant sur le mode de collecte des données, leur utilisation et la manière dont elles sont sécurisées :

  1. Les données personnelles doivent être collectées en vertu d'une autorisation. Le RGPD prévoit 6 hypothèses limitatives autorisant l'organisme à collecter, puis utiliser les données. Appelé "base légale", ce principe signifie que les données personnelles ne peuvent être traitées que sur un fondement juridique. L'article 6 RGPD en énumère 6 : le consentement de la personne, l'exécution d'un contrat, le respect d'une obligation légale, l'intérêt légitime de l'organisme, l'intérêt public ou l'intérêt vital.
  2. L'article 5 du RGPD, qui énumère les principes fondateurs du RGPD prévoit que protéger les données personnelles implique notamment de conserver l'intégrité des informations utilisées et de ne pas altérer leur exactitude.
  3. Enfin, tout organisme doit, en toute circonstance, être en mesure d'assurer la sécurité des données contre toute violation, fuite, altération ou destruction en prévoyant les mesures de sécurité adéquates (article 32 RGPD).

Les principes de l'intelligence artificielle

Les grands principes du RGPD ont été pensés pour une utilisation classique des données par les entreprises, organismes, associations et administration. L'émergence de l'intelligence artificielle dans notre quotidien est un bouleversement majeur et vient se heurter aux règles en matière de protection des données personnelles.

En effet, les systèmes d'intelligence artificielle reposent sur l'exploitation de données personnelles pour entraîner le modèle (ou l'algorithme) pour se développer et imiter une tâche humaine. Ces systèmes sont par exemple fondés sur le Machine Learning (ou apprentissage informatique) qui permet aux algorithmes d'apprendre à partir de l'expérience et d'adapter leur comportement en fonction des nouvelles données.

En tout état de cause, les données, notamment les données personnelles, représentent la source principale d'alimentation et de développement de l'IA.

En particulier ChatGPT, développé par OpenAI, qui est un chatbot qui fonctionne grâce au deep learning. ChatGPT est conçu pour répondre aux questions des utilisateurs, est capable de gérer des tâches variées telles que la rédaction d'articles, le développement de code informatique et la résolution de problèmes mathématiques. Il se souvient des messages précédents dans une conversation et peut interagir de manière similaire à un être humain.

Quelques mois après son lancement le 30 novembre 2022, cette nouvelle IA a déjà provoqué un changement de paradigme. Dans ces conditions, il convient de s'interroger sur l'articulation de ChatGPT et le RGPD.

2 - La non-conformité de ChatGPT au RGPD ?

En l'espace de quelques mois, ChatGPT a pris une telle ampleur que les États membres de l'Union européenne se sont saisis du sujet afin de s'interroger sur les risques engendrés par l'utilisation de l'IA pour les données personnelles des Européens et ce, à plusieurs titres.

L'absence de respect des droits des personnes

Comme vu plus haut, l'information des personnes sur l'utilisation de leurs données personnelles et leurs droits est un élément majeur du RGPD. Or, la politique de confidentialité de ChatGPT peine à répondre à ces exigences. En effet, les utilisateurs ne sont pas informés de manière suffisamment claire sur les éléments les concernant en contrariété avec le principe de transparence prévu à l'article 5 du RGPD. En particulier, il n'existe aucune information concernant le fait que les conversations qu'ils entretiennent avec ChatGPT servent à alimenter et perfectionner l'algorithme et qu'elles sont ainsi toutes enregistrées.

Imaginez toutes les données personnelles qui ont pu alors être transmises à ChatGPT lors de son utilisation.

Notons également que ChatGPT n'informe pas ses utilisateurs sur le fondement légal qui l'autorise à collecter et conserver toutes les informations qui lui sont transmises dans le cadre de son utilisation (la fameuse "base légale"). À ce jour, il n'existe aucun fondement juridique tel que le consentement, le contrat ou l'intérêt légitime autorisant la collecte de ces données en toute sécurité.

Enfin, les utilisateurs ne sont pas informés des droits qu'ils peuvent exercer (accès, suppression et opposition au traitement qui sont les plus importants). À fortiori, ils n'ont aucun moyen d'effectivement les exercer.

Cette analyse suffit à conclure à la non-conformité de ChatGPT au RGPD. Or, les violations des données personnelles ne s'arrêtent pas là.

Une information inexacte

Plusieurs tests opérés par des sociétés ou relevés dans le cadre d'enquêtes menées par les États membres ont permis de révéler que ChatGPT faisait de nombreuses erreurs.

Au regard de la protection des données personnelles, cela implique que l'IA fait un traitement de données personnelles inexactes en violation de l'article 5 RGPD.

Les risques en matière de violation de données personnelles

Nous l'avons mentionné ci-dessus, ChatGPT enregistre l'intégralité des informations qui sont transmises à l'IA. Une attaque cybercriminelle engendrerait un risque incalculable pour le respect de la vie privée de ses utilisateurs. Or, aucun élément ne permet de s'assurer des mesures de sécurité mises en place par OpenAI pour réduire ce risque.

Notons également qu'OpenAI est une entreprise américaine dont le droit autorise les renseignements à avoir accès à n'importe quelle information détenue par une entreprise immatriculée aux États-Unis ce qui contrevient très largement au RGPD.

Un avenir incertain pour ChatGPT en Europe

Ces préoccupations ont conduit à l'ouverture d'enquêtes par les autorités de protection des données personnelles en Europe et au Canada. Les autorités européennes, notamment en Italie, en France, en Irlande et en Allemagne, ont exprimé leurs inquiétudes quant à l'utilisation des données à caractère personnel par ChatGPT.

En effet, en prévention de toute violation de données personnelles de ses concitoyens, l'Italie a été à l'initiative de la première interdiction de ChatGPT sur le fondement du RGPD. Le 30 mars 2023, le Président de l'autorité de protection des données italienne a interdit provisoirement l'utilisation de ChatGPT sur le territoire en attendant des explication de la part d'OpenAI.

En France, deux plaintes ont été déposées début avril auprès de la CNIL mettant en cause l'utilisation des données personnelles par ChatGPT.

En attendant le verdict de la CNIL Italienne et Française, les autorités Irlandaise et Allemande ont indiqué se rapprocher afin d'établir une position commune.

En réaction, OpenAI a annoncé fin avril 2023 introduire trois nouveaux éléments :

  • Une nouvelle fonctionnalité permettant de désactiver l’historique des discussions qui ne seront ainsi pas utilisées pour améliorer le modèle mais seront conservés pendant 30 jours et examinés si nécessaire pour surveiller les abus.
  • Un nouvel abonnement dédié aux entreprises "pour les professionnels qui ont besoin de plus de contrôle sur leurs données ainsi que pour les entreprises qui cherchent à gérer leurs utilisateurs finaux" qui sera vraisemblablement disponible fin mai 2023.
  • Et surtout, il est désormais possible dans le paramétrage de l'outil d'exporter ses données ou de les supprimer conformément au droit d'obtenir une copie et la suppression de ses données personnelles !

Quelle incidence sur la protection des données personnelles? Aucune annonce d’une politique de confidentialité complète n’est visiblement prévue. En revanche, plus de contrôle sur les données transmises par les utilisateurs et plus de transparence sur la durée de conservation et la finalité du traitement des données est une première brique favorable à l'exercice des droits et à l'information des personnes !

Dans l'attente de l’évaluation de ces nouveaux éléments à leur sortie, il convient de rester vigilant pour utiliser une IA comme ChatGPT en conformité avec le RGPD : limitez au maximum la transmission de données personnelles via le chatbot !

Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre