Début décembre, les négociateurs du Parlement et du Conseil sont parvenus à un accord provisoire sur la législation sur l’intelligence artificielle. La loi sur l’IA a été conçue à l’origine pour atténuer les dangers liés à des fonctions spécifiques de l’IA en fonction de leur niveau de risque, de faible à inacceptable. Mais les législateurs ont décidé de l'étendre aux modèles à usage général, les systèmes avancés qui sous-tendent les services d'IA à usage général comme ChatGPT et le chatbot Bard de Google.
L'AI Act établit une nouvelle référence mondiale pour les pays cherchant à exploiter les avantages potentiels de la technologie, tout en essayant de se protéger contre ses risques possibles, comme l'automatisation des emplois, la diffusion de fausses informations en ligne et la mise en danger de la sécurité nationale. La loi doit encore franchir quelques étapes finales avant d'être approuvée, mais l'accord politique signifie que ses grandes lignes ont été fixées.
Les décideurs politiques européens se sont concentrés sur les utilisations les plus risquées de l’IA par les entreprises et les gouvernements, notamment celles destinées à l’application des lois et à l’exploitation de services cruciaux comme l’eau et l’énergie. Les fabricants des plus grandes technologies d’IA à usage général les systèmes, comme ceux qui alimentent le chatbot ChatGPT, seraient confrontés à de nouvelles exigences de transparence. Les chatbots et les logiciels créant des images manipulées telles que les « deepfakes » devraient indiquer clairement que ce que les gens voient a été généré par l’IA, selon les fonctionnaires de l’UE et les versions antérieures de la loi.
L'utilisation de logiciels de reconnaissance faciale par la police et les gouvernements serait restreinte en dehors de certaines exemptions en matière de sûreté et de sécurité nationale. Les entreprises qui enfreignent la réglementation pourraient se voir infliger des amendes pouvant atteindre 7 % de leurs ventes mondiales.
OpenAI entreprend de se mettre en conformité
L’entreprise s'est lancée dans une course contre la montre pour faire tout ce qui est en son pouvoir afin de réduire le risque réglementaire dans l’UE après avoir été mise sous surveillance pour violation de la vie privée des citoyens. C'est la principale raison pour laquelle l'entreprise a entrepris de modifier ses termes et conditions.
ChatGPT a été accusée d'affecter négativement la vie privée des utilisateurs avec toute une série d'enquêtes en place pour contrecarrer les problèmes de protection des données liés à la manière dont les chatbots traitent les données des utilisateurs et à la manière dont ils produisent des données en général, y compris celles provenant des principaux organismes de surveillance dans la région.
Pour mémoire, début 2023, le Garante per la protezione dei dati personali (en français Garant de la protection des données personnelles) a bloqué le site Web d'OpenAI hébergeant le modèle. Les autorités cherchaient à savoir si le logiciel collectait illégalement des données sur les citoyens et si la technologie pourrait nuire aux mineurs de moins de 13 ans. L'Italie est ainsi devenue le premier pays à réglementer ChatGPT, d'autres pays de l'UE comme l'Allemagne lui ont emboîté le pas.
L'organisme de surveillance a déclaré que le 20 mars, l'application avait subi une violation de données impliquant des conversations d'utilisateurs et des informations de paiement. Il a déclaré qu'il n'y avait aucune base légale pour justifier « la collecte et le stockage massifs de données personnelles dans le but de 'former' les algorithmes sous-jacents au fonctionnement de la plateforme ». Il a également déclaré que puisqu'il n'y avait aucun moyen de vérifier l'âge des utilisateurs, l'application « expose les mineurs à des réponses absolument inadaptées par rapport à leur degré de développement et de sensibilisation ».
Le blocage de ChatGPT en Italie est intervenu quelques jours après que l'agence de police européenne Europol a averti que les criminels étaient sur le point d'utiliser l'application pour commettre des fraudes et d'autres cybercrimes, du phishing aux logiciels malveillants.
OpenAI a finalement repris ses activités dans le pays un peu plus tard.
Une mise à jour de la politique d'utilisation qui sera applicable dès le 1er février
En mi-novembre, avant le consensus provisoire sur l'AI Act, OpenAI a mis à jour les conditions d'utilisations s'appliquant à ses services ChatGPT, Dall-E et autres pour les personnes physiques, et de tous les sites internet, applications et technologies associés pour les personnes physiques résidant dans l'Espace Economique Européen, en Suisse ou au Royaume-Uni.
Voici quelques éléments qui ressortent de la mise à jour de la politique:
Inscription et accès
- Pour consentir à l'utilisation des services, il faut au moins 13 ans, ou alors l'âge minimum requis dans le pays de résidence de l'utilisateur. Pour les moins de 18 ans, OpenAI demande qu'ils obtiennent l'autorisation de l’un de leurs parents ou de leur tuteur légal.
- Lors de l'inscription, OpenAI demande de fournir des informations exactes et complètes. L'entreprise interdit le partage des identifiants de votre compte, encore moins le fait de mettre votre compte à la disposition de quelqu'un d'autre et elle tient l'utilisateur pour responsable de toutes les activités qui se déroulent sur son compte. Si vous créez un compte ou utilisez les Services pour le compte d'une autre personne ou entité, vous devez être autorisé à accepter les présentes Conditions pour leur compte.
Résiliation et suspension
- Vos droits. Vous pouvez cesser d'utiliser nos Services et mettre fin à votre relation avec OpenAI à tout moment en fermant simplement votre compte et en cessant d'utiliser les Services.
- Droit de Rétractation du Consommateur de l'EEE. Si vous êtes un consommateur résidant dans l'EEE, vous pouvez fermer votre compte et vous rétracter des présentes Conditions dans les 14 jours suivant leur acceptation en contactant le service Support ou en remplissant et en nous envoyant le formulaire de rétractation.
- Droits d'OpenAI. Nous pouvons prendre des mesures pour suspendre ou résiliier votre accès à nos Services ou fermer votre compte si nous déterminons, de manière raisonnable et objective que :
- Vous avez enfreint les présentes Conditions ou nos Politiques d'Utilisation.
- Cela est nécessaire pour nous conformer à la loi.
- Votre utilisation de nos Services pourrait entraîner des risques pour ou causer des dommages à OpenAI, nos utilisateurs ou toute autre personne.
- Votre compte est inactif depuis plus d'un an et vous n'avez pas de compte payant.
Cependant, l'entreprise a commencé à envoyer des courriels à ses utilisateurs fin décembre. « Nous avons remplacé l'entité OpenAI qui fournit des services tels que ChatGPT aux résidents de l'EEE et de la Suisse par notre entité irlandaise, OpenAI Ireland Limited », indique-t-elle.
Une mise à jour parallèle de la politique de confidentialité d’OpenAI pour l’Europe stipule en outre*:
Si vous résidez dans l'Espace économique européen (EEE) ou en Suisse, OpenAI Ireland Limited, dont le siège social est situé au 1er étage, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlande, est le responsable du traitement de vos données personnelles comme décrit dans la présente politique de confidentialité.
Guichet unique
Pour mémoire, avant l’entrée en application du RGPD, les entreprises établies dans plusieurs États membres de l’Union européenne devaient s’adresser à chaque autorité de chaque État membre dans lequel elles avaient un établissement. Chacune de ces autorités de protection des données décidait seule. Ces démarches étaient lourdes et chronophages pour les entreprises concernées et la multiplication d’interlocuteurs ne permettait pas de garantir une application uniforme des règles européennes.
Pour résoudre ces difficultés, le RGPD a institué un mécanisme de « guichet unique » pour faciliter les démarches des entreprises concernées.
Il repose sur les trois principes suivants :
- Un mécanisme ouvert aux seules entreprises établies en UE : lorsqu’une entreprise met en œuvre un traitement de données « transfrontalier », elle bénéficie d’un mécanisme de contrôle simplifié. Celui-ci ne s’applique pas aux entreprises exclusivement établies hors de l’UE.
- Un interlocuteur unique pour les responsables de ces traitements : il s’agit de l’autorité « chef de file », c’est-à-dire l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise. C’est auprès de cette seule autorité que les différentes obligations prévues par le RGPD doivent être accomplies. Elle est en outre chargée de coordonner la prise de décision avec les autres autorités de protection des données concernées par le traitement transfrontalier.
- Une seule décision valable dans toute l’UE : toute décision de l’autorité chef de file aura été prise en concertation avec l’ensemble des autorités de protection des données concernées. Elle présentera donc l’interprétation commune des autorités européennes concernant le traitement transfrontalier à l’égard duquel la décision est prise.
L’obtention de ce statut réduit donc la capacité des organismes de surveillance de la vie privée situés ailleurs dans le bloc à agir unilatéralement en réponse aux préoccupations. Au lieu de cela, ils vont renvoyer les plaintes à l'organisme où est situé le siège social pour examen.
D’autres régulateurs du RGPD conservent toujours le pouvoir d’intervenir localement s’ils constatent des risques urgents. Mais ces interventions sont généralement temporaires. Elles sont également exceptionnelles par nature, l’essentiel de la surveillance du RGPD étant acheminé via une autorité chef de file. C’est pourquoi ce statut s’est révélé si attrayant pour les Big Tech, permettant aux plateformes les plus puissantes de rationaliser la surveillance de la confidentialité de leur traitement transfrontalier de données personnelles.
Lorsqu'il lui a été demandé si OpenAI travaillait avec l'organisme irlandais de surveillance de la vie privée pour obtenir le statut d'établissement principal pour son entité basée à Dublin, dans le cadre du guichet unique du RGPD, une porte-parole de la Commission irlandaise de protection des données (DPC) a déclaré : « Je peux confirmer qu'Open AI a collaboré avec la DPC et d’autres DPA de l’UE [autorités de protection des données] sur cette question ».
OpenAI a ouvert un bureau à Dublin en septembre, embauchant initialement une poignée de membres du personnel politique, juridique et chargé de la vie privée, en plus de certains rôles de back-office.
Au moment de la rédaction de cet article, il n'y a que cinq postes vacants basés à Dublin sur un total de 100 répertoriés sur sa page Carrières, de sorte que l'embauche locale semble encore limitée. Un responsable de la politique et des partenariats des États membres de l'UE basé à Bruxelles, qu'il recrute également actuellement, demande aux candidats de préciser s'ils sont disponibles pour travailler depuis le bureau de Dublin trois jours par semaine. Mais la grande majorité des postes vacants d'OpenAI sont répertoriés à San Francisco/États-Unis.
L'un des cinq postes basés à Dublin annoncés par OpenAI est celui d'un ingénieur logiciel de confidentialité. Les quatre autres sont destinés : au directeur de compte, plateforme ; spécialiste de la paie internationale*; relations avec les médias, direction européenne*; et ingénieur commercial.
Qui et combien d'embauches OpenAI effectue à Dublin sera pertinent pour l'obtention du statut d'établissement principal en vertu du RGPD, car il ne s'agit pas simplement de remplir quelques documents juridiques et de cocher une case pour obtenir le statut. L’entreprise devra convaincre les régulateurs de la vie privée du bloc que l’entité basée dans l’État membre qu’elle désigne comme légalement responsable des données des Européens est réellement en mesure d’influencer la prise de décision la concernant.
Cela signifie disposer de l’expertise et des structures juridiques appropriées pour exercer une influence et mettre en place des contrôles de confidentialité significatifs sur un parent américain.
En d’autres termes, ouvrir un front office à Dublin qui se contenterait d’approuver les décisions relatives aux produits prises à San Francisco ne devrait pas suffire.
Si OpenAI obtient le statut de principal établissement sous le RGPD en Irlande, obtenant la supervision principale du DPC irlandais, il rejoindra Apple, Google, Meta, TikTok et X, pour ne citer que quelques-unes des multinationales qui ont choisi de s'établir dans ce pays en UE.
Un organisme critiqué
Le DPC, quant à lui, continue de susciter de nombreuses critiques quant au rythme et à la cadence de sa surveillance des grandes enseignes technologiques sous le prisme du RGPD. Et même si ces dernières années ont vu un certain nombre de sanctions qui ont fait la une des médias contre les grandes entreprises technologiques, les critiques de l'Irlande soulignent que le régulateur préconise souvent des sanctions nettement inférieures à celles de ses pairs. D’autres critiques incluent le rythme lent et/ou la trajectoire inhabituelle des enquêtes de la DPC. Ou encore des cas où il choisit de ne pas enquêter du tout sur une plainte, ou choisit de la recadrer d'une manière qui contourne la principale préoccupation (comme la plainte Google AdTech).
Toute enquête RGPD existante sur ChatGPT, comme par les régulateurs en Italie et en Pologne, peut encore avoir des conséquences en termes de façonnage de la réglementation régionale du chatbot d'IA générative d'OpenAI, car les enquêtes sont susceptibles de suivre leur cours étant donné qu'elles concernent le traitement des données antérieur à tout futur statut d’établissement principal qu'OpenAI pourrait acquérir. Mais l’impact qu’elles pourraient avoir est moins clair.
Sources : conditions d'utilisation pour les résidents en EEE, carrière OpenAI, CNIL, courriel OpenAI
Et vous ?
Que pensez-vous des nouvelles conditions de confidentialité d’OpenAI pour ses services d’IA génératifs ?
Que pensez-vous du RGPD couplé à l'AI Act ? Des réglementations suffisantes pour encadrer l'utilisation de l’IA ?
Que pensez-vous du fait qu'OpenAI cherche à faire de sa filiale à Dublin un guichet unique ? Êtes-vous surpris par la manœuvre ? Dans quelle mesure ?
Avez-vous déjà utilisé ou envisagez-vous d’utiliser les services d’OpenAI, tels que ChatGPT, DALL·E ou d’autres ? Si oui, dans quel but et avec quelles précautions ?
Quels sont les avantages et les inconvénients des modèles d’IA génératifs, tels que les grands modèles de langage, pour la société et pour les individus ?