L'arrivée de ces deux plaintes auprès de la CNIL place davantage ChatGPT dans le viseur du gendarme français des données personnelles. Depuis le précédent créé par l'Italie, le chatbot d'IA d'OpenAI fait l'objet d'une surveillance accrue de la part de l'Union européenne et d'autres régulateurs étatiques. ChatGPT est rapidement devenu l'application grand public à la croissance la plus rapide de tous les temps, mais après l'émerveillement, place désormais au traitement de nombreuses préoccupations qu'il pose, notamment en matière de désinformation, de sécurité et de confidentialité. En France, la perspective d'un blocage de ChatGPT est plus forte que jamais.
Jusque-là silencieuse, la CNIL française est maintenant confrontée à deux plaintes qui dénoncent les manquements d'OpenAI dans la distribution de son logiciel d'IA et les problèmes de désinformation de ce dernier. Les plaintes de Zoé Villain et de David Libeau, développeur très engagé dans la protection des données personnelles, auraient été déposées ce mardi 4 avril 2023 et ont été signalées dans un premier temps par le média L'Informé. Dans sa plainte, Villain explique qu'après avoir créé un compte pour utiliser ChatGPT, elle a remarqué l'absence de « conditions générales d’utilisation » à accepter et d’« une quelconque politique de confidentialité ».
[tweet]<blockquote class="twitter-tweet"><p lang="fr" dir="ltr">Nous avons porté plainte devant la CNIL hier contre <a href="https://twitter.com/hashtag/OpenAI?src=hash&ref_src=twsrc%5Etfw">#OpenAI</a> <a href="https://twitter.com/hashtag/ChatGPT?src=hash&ref_src=twsrc%5Etfw">#ChatGPT</a> suite à une demande d’accès à mes données personnelles restée sans réponse. Retrouvez les infos dans <a href="https://twitter.com/LInforme_?ref_src=twsrc%5Etfw">@LInforme_</a> _ avec <a href="https://twitter.com/reesmarc?ref_src=twsrc%5Etfw">@reesmarc</a> <a href="https://t.co/tGxc1CrtDk">https://t.co/tGxc1CrtDk</a></p>— Zoe Vilain 🇪🇺 (@Zoe_Vilain) <a href="https://twitter.com/Zoe_Vilain/status/1643554710316564480?ref_src=twsrc%5Etfw">April 5, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Villain s'étonne d'un tel manquement, car, selon elle, ces deux choses devraient être présentes sur le site de ChatGPT du moment où elle a fourni des données personnelles lors de son inscription et de son utilisation du service. Elle accuse OpenAI de ne pas informer suffisamment les utilisateurs sur la façon dont le laboratoire d'IA de San Francisco traite les données personnelles. De plus, elle explique avoir pris contact avec OpenAI pour tenter d'obtenir une copie que des données personnelles dont l'entreprise dispose sur sa personne, mais n'a pas obtenu gain de cause. Ainsi, à travers sa plainte, Villain demande à la CNIL de l'aider dans cette démarche.
« OpenAI n’a pas été en mesure de donner droit à ma demande d’accès à mes données personnelles dans les délais impartis, et ce sans justification », écrit-elle dans sa plainte. Or, le RGPD (le règlement général sur la protection des données) de l'UE exige que le responsable du traitement - OpenAI dans le cas présent - facilite les droits des personnes concernées, sauf s’il est prouvé que l’identification est impossible. « On n’est pas antitechnologique, mais on souhaite une technologie éthique », a déclaré Villain à l’AFP. Elle espère que la CNIL parviendra à contraindre OpenAI à se conformer la réglementation européenne sur les données personnelles.
De son côté, David Libeau allègue dans sa plainte auprès de la CNIL avoir repéré des informations personnelles le concernant en interrogeant ChatGPT sur son profil. Il ajoute que ses informations sont fausses. « Lorsque je demandais plus d’informations, l’algorithme a commencé à affabuler et à m’attribuer la création de sites Web ou l’organisation de manifestations en ligne, ce qui est totalement faux », écrit-il. Il s'agit d'une entorse grave au RGPD. En fait, cette faille serait contraire à l'article 5 du RGPD, qui exige que les informations délivrées portant sur une personne soient exactes. Une enquête de la CNIL doit déterminer l'exactitude de l'accusation.
Selon certains critiques, l'instruction des deux plaintes par l’autorité de protection des données personnelles pourrait déboucher - en théorie - sur une interdiction du chatbot en France. Mais il s'agit de l'option la plus radicale et la CNIL dispose d'autres mesures moins drastiques qu'elle pourrait déployer si OpenAI est condamné. On pourrait citer : un simple rappel à l'ordre, une injonction de mise en conformité ou encore une amende pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise. Selon certains analystes, il peut arriver qu'OpenAI décide de son propre chef de quitter l'Hexagone par crainte des effets de certaines décisions.
[tweet]<blockquote class="twitter-tweet"><p lang="fr" dir="ltr">- Journaliste : Au bout du compte, qu'attendez-vous de la procédure devant la <a href="https://twitter.com/CNIL?ref_src=twsrc%5Etfw">@CNIL</a> ?<br>- Moi : Rien.<a href="https://t.co/054IGcpEGW">https://t.co/054IGcpEGW</a></p>— David Libeau (@DavidLibeau) <a href="https://twitter.com/DavidLibeau/status/1644034674463834115?ref_src=twsrc%5Etfw">April 6, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
D'autres pensent néanmoins que c'est un scénario très peu probable. Tout compte fait, après plusieurs mois d'enchantement, OpenAI doit maintenant faire face aux préoccupations suscitées par son logiciel d'IA dans de nombreuses juridictions dans le monde. Vendredi dernier, l'Italie est devenue le premier pays à bloquer provisoirement ChatGPT. L'organisme italien de surveillance de la vie privée (l'équivalent italien de la CNIL) a évoqué des craintes sur la sécurité des données personnelles, l'absence d'une note d'information aux utilisateurs, et l'absence de filtre pour vérifier l'âge des utilisateurs. Il a également fait d'autres remarques mineures sur ChatGPT.
Le régulateur a déclaré que l'entreprise disposait de 20 jours pour l'informer sur la manière dont elle répondrait à ses préoccupations, sous peine d'une amende de 20 millions d'euros (environ 21,7 millions de dollars), soit jusqu'à 4 % des revenus annuels d'OpenAI. Le blocage de ChatGPT en Italie est intervenu quelques jours après qu'Europol a averti que les criminels utilisent l'outil d'IA pour commettre des fraudes et d'autres cybercrimes, de l'hameçonnage aux logiciels malveillants. Le blocage est également intervenu après que ChatGPT a divulgué les titres de l'historique des conversations de certains utilisateurs et certaines informations de paiement.
En outre, l'Allemagne pourrait suivre l'exemple de l'Italie et interdire ChatGPT pour des raisons de sécurité des informations personnelles. Le lundi 3 avril, le commissaire allemand à la protection des données, Ulrich Kelber, a déclaré au journal Handelsblatt que son pays pourrait s'inspirer de la récente interdiction de ChatGPT par l'Italie et prendre une mesure similaire. Kelber a déclaré que les autorités de régulation allemandes ont communiqué avec leurs homologues italiens à la suite de l'interdiction prononcée dans ce pays. Les autorités de régulations d'autres pays de l'UE, tels que la France et l'Irlande, auraient également fait la même chose.
Cette semaine, un porte-parole du commissaire irlandais à la protection des données (DCP) a déclaré : « nous suivons l'évolution de la situation avec l'autorité italienne de régulation des données pour comprendre les raisons de son action et nous nous coordonnerons avec toutes les autorités de protection des données de l'UE sur cette question ». Le DPC est le principal régulateur de l'UE pour de nombreux géants mondiaux de la technologie dans le cadre du "guichet unique" de réglementation des données de l'Union européenne. Toutefois, elle n'exerce aucun contrôle réglementaire direct sur la manière dont OpenAI opère au sein du bloc des 27.
En fait, OpenAI n'a pas de bureaux dans l'UE. Il faut également rappeler que le "Center for AI and Digital Policy" a déposé une plainte auprès de la Commission fédérale du commerce (FTC) des États-Unis lui demandant d'empêcher OpenAI de lancer de nouvelles versions commerciales au-delà de sa version actuelle, GPT-4. La plainte allègue que GPT-4 de "biaisé et trompeur" et l'accuse d'être une menace pour la vie privée et la sécurité publique. La plainte fait suite à une lettre ouverte cosignée par plusieurs experts en IA réclamant une suspension de six mois du développement de systèmes plus avancés que GPT-4, en évoquant des risques sociétaux.
Sources : CNIL, AFP
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des plaintes visant ChatGPT en France ?
Les allégations de ces plaintes sont-elles fondées ?
Pensez-vous que ces plaintes aboutiront à une condamnation ?
Pensez-vous que ChatGPT sera interdit en France ? Pourquoi ?
Voir aussi
L'organisme italien de surveillance de la vie privée a déclaré vendredi qu'il avait bloqué le Chatbot controversé ChatGPT, car il ne respectait pas les données des utilisateurs
L'Allemagne envisage d'emboîter le pas à l'Italie en interdisant l'utilisation de ChatGPT, évoquant une violation présumée des règles de confidentialité par le chatbot d'IA d'OpenAI
Les régulateurs européens de la vie privée surveillent de près la suspension de ChatGPT en Italie. Plusieurs envisageraient de lui emboîter le pas, évoquant des problèmes de confidentialité
Un ministre italien, Matteo Salvini, a critiqué dimanche la décision de l'autorité de protection des données du gouvernement d'interdire temporairement le chatbot ChatGPT, l'estimant excessive