La France emboîte le pas à l’Italie. Deux plaintes viennent d’être déposées devant la CNIL, le gendarme français des données personnelles, contre ChatGPT et son éditeur OpenAI. De quoi confirmer que l’agent conversationnel star, adulé pour ses prouesses, commence sérieusement à inquiéter les autorités de protection de la vie privée.
La première plainte émane de Maître Zoé Vilain, présidente de l’association Janus International, qui se penche sur les enjeux du numérique. Elle tient à le préciser d’emblée : son association n’a rien d’anti-technologie, elle réclame simplement une technologie éthique et respectueuse des règles. Son grief est concret. En se rendant sur le service, elle affirme n’avoir trouvé ni conditions générales d’utilisation, ni politique de confidentialité. Elle a également demandé à accéder aux données personnelles qu’OpenAI détenait sur elle, une démarche tout à fait légitime au regard du RGPD, et n’a jamais obtenu de réponse.
La seconde plainte vient de David Libeau, développeur engagé de longue date sur les questions de protection des données. Son cas illustre un autre travers de ces modèles. En interrogeant ChatGPT, il a découvert que l’outil possédait des informations personnelles le concernant. Sauf que ces informations étaient en partie fausses. C’est tout le problème de ces systèmes qui génèrent du texte plausible sans garantie d’exactitude : ils peuvent inventer des éléments sur une personne réelle, avec les conséquences que l’on imagine sur la réputation ou la vie privée.
Pour comprendre ce que ChatGPT fait vraiment de vos données, ce guide accessible fait le tour de la question :
ChatGPT pour les Nuls → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Ces deux signalements ne tombent pas du ciel. Quelques jours plus tôt, l’Italie avait frappé un grand coup en suspendant purement et simplement ChatGPT sur son territoire. L’autorité italienne reprochait à OpenAI plusieurs manquements au RGPD : absence de base légale claire pour collecter et traiter les données des utilisateurs, mais aussi absence de tout système de vérification de l’âge, alors que le service est censé être interdit aux moins de treize ans. La décision italienne s’appuyait notamment sur une fuite de données survenue le 20 mars 2023, qui avait exposé des conversations d’utilisateurs ainsi que des informations de paiement.
L’enjeu dépasse largement le cas français. Si la CNIL décide d’instruire ces plaintes et d’ouvrir une enquête, elle pourrait suivre la voie italienne et imposer des restrictions, voire des sanctions financières. Or ce qui se joue ici, c’est la confrontation entre une technologie qui avance à toute vitesse et un cadre juridique européen, le RGPD, qui n’a pas été pensé pour ces modèles avalant des montagnes de données pour s’entraîner.
OpenAI va devoir clarifier un certain nombre de points : d’où viennent les données utilisées pour entraîner ses modèles, comment un utilisateur peut faire valoir son droit d’accès ou de rectification, et comment corriger les informations erronées générées sur des personnes. Des questions loin d’être anecdotiques. La réponse de la CNIL sera scrutée de près, car elle pourrait dessiner la manière dont l’Europe entend encadrer l’intelligence artificielle pour les années à venir.
Crédit photo : DR
