ChatGPT bientôt interdit en France comme en Italie ? La CNIL enregistre les premières plaintes contre le logiciel d'IA d'OpenAI,

La société est accusée d'avoir violé plusieurs dispositions du RGPD

En France, la Commission nationale de l’informatique et des libertés (CNIL) a enregistré au moins deux plaintes visant le chatbot d'IA ChatGPT. La première, déposée par l’avocate Zoé Villain, présidente de l’association de sensibilisation aux enjeux du numérique Janus International, reproche à OpenAI de distribuer son outil d'IA sans aucune condition d'utilisation et sans aucune politique de confidentialité. Elle demande à la CNIL de l'aider à accéder aux données personnelles collectées par ChatGPT sur sa personne. Dans la seconde plainte, le développeur français David Libeau accuse ChatGPT d'inventer des informations erronées à son sujet.

L'arrivée de ces deux plaintes auprès de la CNIL place davantage ChatGPT dans le viseur du gendarme français des données personnelles. Depuis le précédent créé par l'Italie, le chatbot d'IA d'OpenAI fait l'objet d'une surveillance accrue de la part de l'Union européenne et d'autres régulateurs étatiques. ChatGPT est rapidement devenu l'application grand public à la croissance la plus rapide de tous les temps, mais après l'émerveillement, place désormais au traitement de nombreuses préoccupations qu'il pose, notamment en matière de désinformation, de sécurité et de confidentialité. En France, la perspective d'un blocage de ChatGPT est plus forte que jamais.

Jusque-là silencieuse, la CNIL française est maintenant confrontée à deux plaintes qui dénoncent les manquements d'OpenAI dans la distribution de son logiciel d'IA et les problèmes de désinformation de ce dernier. Les plaintes de Zoé Villain et de David Libeau, développeur très engagé dans la protection des données personnelles, auraient été déposées ce mardi 4 avril 2023 et ont été signalées dans un premier temps par le média L'Informé. Dans sa plainte, Villain explique qu'après avoir créé un compte pour utiliser ChatGPT, elle a remarqué l'absence de « conditions générales d’utilisation » à accepter et d’« une quelconque politique de confidentialité ».


Villain s'étonne d'un tel manquement, car, selon elle, ces deux choses devraient être présentes sur le site de ChatGPT du moment où elle a fourni des données personnelles lors de son inscription et de son utilisation du service. Elle accuse OpenAI de ne pas informer suffisamment les utilisateurs sur la façon dont le laboratoire d'IA de San Francisco traite les données personnelles. De plus, elle explique avoir pris contact avec OpenAI pour tenter d'obtenir une copie que des données personnelles dont l'entreprise dispose sur sa personne, mais n'a pas obtenu gain de cause. Ainsi, à travers sa plainte, Villain demande à la CNIL de l'aider dans cette démarche.

« OpenAI n’a pas été en mesure de donner droit à ma demande d’accès à mes données personnelles dans les délais impartis, et ce sans justification », écrit-elle dans sa plainte. Or, le RGPD (le règlement général sur la protection des données) de l'UE exige que le responsable du traitement - OpenAI dans le cas présent - facilite les droits des personnes concernées, sauf s’il est prouvé que l’identification est impossible. « On n’est pas antitechnologique, mais on souhaite une technologie éthique », a déclaré Villain à l’AFP. Elle espère que la CNIL parviendra à contraindre OpenAI à se conformer la réglementation européenne sur les données personnelles.

De son côté, David Libeau allègue dans sa plainte auprès de la CNIL avoir repéré des informations personnelles le concernant en interrogeant ChatGPT sur son profil. Il ajoute que ses informations sont fausses. « Lorsque je demandais plus d’informations, l’algorithme a commencé à affabuler et à m’attribuer la création de sites Web ou l’organisation de manifestations en ligne, ce qui est totalement faux », écrit-il. Il s'agit d'une entorse grave au RGPD. En fait, cette faille serait contraire à l'article 5 du RGPD, qui exige que les informations délivrées portant sur une personne soient exactes. Une enquête de la CNIL doit déterminer l'exactitude de l'accusation.

Selon certains critiques, l'instruction des deux plaintes par l’autorité de protection des données personnelles pourrait déboucher - en théorie - sur une interdiction du chatbot en France. Mais il s'agit de l'option la plus radicale et la CNIL dispose d'autres mesures moins drastiques qu'elle pourrait déployer si OpenAI est condamné. On pourrait citer : un simple rappel à l'ordre, une injonction de mise en conformité ou encore une amende pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise. Selon certains analystes, il peut arriver qu'OpenAI décide de son propre chef de quitter l'Hexagone par crainte des effets de certaines décisions.


D'autres pensent néanmoins que c'est un scénario très peu probable. Tout compte fait, après plusieurs mois d'enchantement, OpenAI doit maintenant faire face aux préoccupations suscitées par son logiciel d'IA dans de nombreuses juridictions dans le monde. Vendredi dernier, l'Italie est devenue le premier pays à bloquer provisoirement ChatGPT. L'organisme italien de surveillance de la vie privée (l'équivalent italien de la CNIL) a évoqué des craintes sur la sécurité des données personnelles, l'absence d'une note d'information aux utilisateurs, et l'absence de filtre pour vérifier l'âge des utilisateurs. Il a également fait d'autres remarques mineures sur ChatGPT.

Le régulateur a déclaré que l'entreprise disposait de 20 jours pour l'informer sur la manière dont elle répondrait à ses préoccupations, sous peine d'une amende de 20 millions d'euros (environ 21,7 millions de dollars), soit jusqu'à 4 % des revenus annuels d'OpenAI. Le blocage de ChatGPT en Italie est intervenu quelques jours après qu'Europol a averti que les criminels utilisent l'outil d'IA pour commettre des fraudes et d'autres cybercrimes, de l'hameçonnage aux logiciels malveillants. Le blocage est également intervenu après que ChatGPT a divulgué les titres de l'historique des conversations de certains utilisateurs et certaines informations de paiement.

En outre, l'Allemagne pourrait suivre l'exemple de l...