Ces derniers mois, l’interdiction pendant un mois de ChatGPT en Italie a suscité de vives réactions médiatiques. Les critiques ont soulevé des préoccupations quant à une possible violation du Règlement Général sur la Protection des Données (RGPD) et une collecte extensive de données des utilisateurs. Cela a suscité l’inquiétude parmi les utilisateurs réguliers, qui représentent la majorité des citoyens européens, quant à la protection de leurs données personnelles.
Tout d’abord, par la loi RGPD, l’Union européenne s’est en effet imposée, au cours de la décennie précédente, comme le modèle le plus abouti de protection des droits fondamentaux liés au numérique. Aujourd’hui, la protection des données est régie par le règlement général sur la protection des données et par le règlement européen sur la gouvernance des données.
Ces développements soulèvent plusieurs questions essentielles :
1. Durée de conservation des données : il est important de se demander combien de temps les données des utilisateurs sont conservées par OpenAI.
2. Étendue de la collecte de données : quelles informations OpenAI détient-elle réellement sur les utilisateurs et comment sont-elles utilisées ?
3. Efficacité du RGPD : le RGPD offre-t-il une protection adéquate des données des utilisateurs, et comment est-il appliqué dans de telles situations ?
4. Finalité des traitements : il est crucial de comprendre les objectifs sous-jacents du traitement des données et dans quelle mesure les traitements sont compatibles avec les normes de confidentialité.
Ces questions soulignent l’importance de débattre des enjeux liés à la protection de la vie privée des utilisateurs dans le contexte de l’intelligence artificielle et des technologies de traitement du langage naturel.
I/ Éléments de définition de l’intelligence artificielle et des données personnelles.
Dans une proposition de règlement d’avril 2021 qui est toujours en cours de négociation entre les états membres et les eurodéputés, la Commission européenne a choisi une définition large de l’intelligence artificielle, la désignant comme un logiciel « qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ». Son ambition explicite est « de créer un espace européen unique des données, un véritable marché unique des données ».
Le Comité européen de protection des données (CEPD) étant chargé de garantir l’application correcte et cohérente du RGPD par les autorités nationales chargées de la protection des données, souligne que la définition des « données personnelles » englobe non seulement les informations telles que le nom, le prénom, l’adresse, mais aussi des éléments tels que les résultats des examens médicaux, l’historique des achats, les données pseudonymisées (par opposition aux données anonymisées), et bien d’autres. Il est donc essentiel de se rappeler en permanence que le concept de donnée personnelle est interprété de manière large, incluant toute donnée qui, même en combinant différentes sources, peut permettre l’identification d’une personne.
II/ Les nombreuses infractions de ChatGPT à la réglementation européenne sur la protection des données restant impunies.
La première exigence est que les informations utilisées ne doivent pas contenir de données personnelles sans le consentement de l’utilisateur, ce que OpenAI ne respecte pas.
Actuellement, OpenAI a accès à nos données et ne les traite pas en conformité avec la réglementation européenne, car seuls quelques amendements à la proposition de règlement ont été votés le 14 juin 2023. De plus, il existe une protection pour les moteurs d’intelligence artificielle basés à l’étranger, car le règlement prévoit que certains systèmes d’IA, même s’ils ne sont pas utilisés dans l’Union, sont soumis à ses règles lorsqu’ils sont utilisés pour des services à haut risque ayant un impact sur les personnes de l’Union. Les fournisseurs et utilisateurs de systèmes d’IA basés à l’étranger seraient également concernés si leurs résultats sont utilisés dans l’Union.
Il est important de noter que ChatGPT ne vérifie pas la conformité à la clause de ses propres conditions d’utilisation, qui établit un âge minimal de 13 ans pour l’utilisation du service. De plus, les utilisateurs ne sont pas informés que ChatGPT traite leurs données pour améliorer son propre traitement de données. Il n’y a pas d’informations disponibles concernant les éventuels transferts de données en dehors de l’Espace économique européen.
Cette situation constitue une violation de l’article 8 du RGPD, qui établit l’âge de consentement au traitement des données personnelles à 16 ans, mais permet également aux législateurs nationaux de réduire cet âge à 13 ans. De plus, ChatGPT ne fournit aucune information sur les opérations de traitement des données, ce qui va à l’encontre de l’article 15 du RGPD, qui accorde aux personnes concernées le droit de savoir si leurs données personnelles sont traitées et d’accéder à ces données lorsque c’est le cas.
III/ Une protection juridique perfectible.
Tout d’abord, la base juridique de la protection des données dans l’Union européenne est issue de l’article 16 du TFUE qui dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ».
Dans un premier temps, le projet de réglementation envisage la création de bacs à sable réglementaires.
Les bacs à sable réglementaires de l’IA fournissent un environnement contrôlé pour le développement, les tests et la validation de systèmes d’IA novateurs avant leur mise sur le marché ou leur utilisation, conformément à un plan spécifique. Ce processus est surveillé et contrôlé directement par les autorités compétentes pour garantir la conformité aux exigences du règlement en vigueur, ainsi qu’à d’autres dispositions législatives de l’Union et des États membres. Cependant, cela pose un problème, car la législation intervient après l’implémentation de l’IA. Donc, comment pouvons-nous effectuer des vérifications ultérieures concernant le système de ChatGPT, par exemple.
Le respect de la vie privée et la protection des données personnelles doivent être garantis tout au long du cycle de vie des systèmes d’IA. Cela nécessite l’application des principes de minimisation et de protection des données dès la conception, ainsi que la mise en place de mesures techniques et organisationnelles conformes à l’état actuel de la technologie. Ces mesures visent à préserver les droits fondamentaux des individus en matière de confidentialité.
Ensuite, le projet de règlement européen propose un système de quatre paliers pour évaluer les risques des intelligences artificielles.
Selon, le comité national pilote d’éthique du numérique qui a publié un avis consultatif, les IA génératives accessibles au grand public sont des systèmes à haut risque.
Les entreprises mettant en œuvre les intelligences génératives - comme Open AI - militent pour qu’elles ne soient pas catégorisées de cette façon.
Cependant, il est important de noter que, en dépit de ces catégorisations, il est nécessaire de souligner l’impact des groupes de pression sur la législation européenne, étant donné son importance économique. En effet, l’influence des lobbies est notable, lorsque l’on lit certains morceaux de textes de lois comme dans le chapitre IV du DGA (loi européenne sur la gouvernance des données), qui adopte plutôt un caractère de recommandation que d’impérativité en encourageant l’utilisation de données pour des motifs « altruistes », suivant une perspective non marchande, afin de permettre le partage des données au service de l’innovation sociale.
De toute manière, il convient de noter que la politique européenne en matière de protection des données adopte une approche davantage orientée vers la régulation que vers la législation, car la majorité de ses actions se manifestent par des avis consultatifs publiés sous forme de communiqués de presse de la Commission européenne. Cette approche découle du fait que le processus de législation au sein de l’Union européenne est un processus long, impliquant de longues négociations entre le Conseil européen et le Parlement. Ainsi, afin de réguler rapidement en réponse à l’émergence rapide de technologies telles que les intelligences artificielles génératives, la voie de la régulation consultative apparaît comme une option préférable.
Cependant, bien que ChatGPT enfreigne de nombreuses dispositions du RGPD, il est remarquable que la France ne se montre pas particulièrement sévère, malgré le nombre considérable de plaintes déposées auprès de la CNIL (Commission nationale de l’informatique et des libertés). De plus, le système judiciaire montre des signes de faiblesse, particulièrement face aux nouvelles technologies, car ces dernières évoluent rapidement au sein de la société, tandis qu’une décision de justice prend souvent plusieurs années avant d’être conclue. La politique de confidentialité d’OpenAI ne fait aucune référence explicite au RGPD, mais elle souligne la conformité du ChatGPT avec les « California privacy rights ». Elle énumère les droits dont disposent les utilisateurs résidant en Californie, notamment le droit de savoir quelles informations personnelles ont été collectées, utilisées et divulguées.
Finalement, il n’existe pas encore de règlementation adaptée pour la protection des données lors de l’utilisation des IA génératives, le texte est en cours d’élaboration et sera en vigueur d’ici 2024.