La mesure d’urgence du 30 mars dernier, par laquelle l’autorité italienne de protection des données (Garante Privacy) a ordonné la « restriction provisoire du traitement des données personnelles des personnes concernées établies sur le territoire italien » par OpenAI L.L.C., une société américaine qui développe et exploite ChatGPT, a suscité une grande attention, non seulement en Italie, mais aussi dans toute l’Europe1. La mesure, ordonnée par l’autorité italienne en vertu de l’article 58, paragraphe 2, point f) du règlement européen sur la protection des données (RGPD), a suscité une réflexion sur l’impact de ce système sur les données personnelles, sur la portée de l’intervention de l’autorité étatique et sur l’adéquation du RGPD à l’évolution technologique. Une reconnaissance des différentes étapes de l’affaire peut s’avérer utile, accompagnée de quelques considérations sur les points les plus controversés.
La mesure d’urgence du Garante
Le Garante a mis en cause OpenAI, tout d’abord, pour l’absence d’information sur le traitement des données via ChatGPT, c’est-à-dire l’absence de communication sur les finalités et les modalités du traitement lui-même. Ce qui manque, selon l’autorité italienne, c’est un système permettant d’assurer la transparence en vue d’un éventuel consentement. Deuxièmement, la Garante pointe l’absence de base juridique appropriée, c’est-à-dire celle qui rend licite l’utilisation des données à caractère personnel (article 6 du RGPD), au niveau de la la collecte des données et de leur traitement pour entraîner les algorithmes qui sous-tendent le fonctionnement de ChatGPT. Le troisième grief concerne l’inexactitude du traitement des données, « puisque les informations fournies par ChatGPT ne correspondent pas toujours aux données réelles », comme s’en plaignent de nombreux intéressés ; enfin, l’absence de « toute vérification de l’âge des utilisateurs » est relevée — alors que, selon les termes publiés par OpenAI, le service ChatGPT est réservé aux personnes âgées d’au moins 13 ans — ce qui expose les mineurs en deçà de l’âge prévu à des réponses « inadaptées à leur degré de développement et de conscience de soi ».
L’Autorité a invité OpenAI à communiquer les initiatives « prises pour mettre en œuvre les dispositions prescrites » et à « fournir tout élément jugé utile pour justifier les violations soulignées ci-dessus », dans un délai de vingt jours. À la suite de cette mesure, le jour même de la décision du Garante, la société a bloqué l’utilisation du service depuis l’Italie, bien que l’autorité n’ait ordonné que la limitation provisoire du traitement des données des personnes situées en Italie. La limitation consiste, entre autres, à rendre certaines données à caractère personnel inaccessibles aux utilisateurs ou à supprimer temporairement les données publiées par un site afin qu’elles « ne fassent pas l’objet d’un traitement ultérieur » (considérant 67 du RGPD).
Suite à la mesure urgente — ratifiée par le Collège le 8 avril — une réunion entre le Garante et la société a eu lieu par téléconférence le 5 avril 2023. Dans des notes envoyées à l’autorité indépendante les 6 et 7 avril, OpenAI a exprimé sa volonté de coopérer et a également demandé la levée de la mesure provisoire de restriction. Compte tenu des informations obtenues et de la volonté manifestée par l’entreprise de « mettre en place une série de mesures concrètes pour protéger les droits et libertés des personnes concernées, dont les données ont été traitées pour l’entraînement des algorithmes utilisés pour la fourniture du service ChatGPT, et des utilisateurs du service lui-même », le 11 avril, le Garante a adopté une nouvelle mesure (conformément à l’article 58, paragraphe 2, point d), du règlement RGPD)2. Elle contient un certain nombre de mesures et de prescriptions auxquelles OpenAI devra se conformer afin de rendre le traitement des données personnelles conforme au règlement de l’Union.
Les conditions de la suspension de la restriction provisoire
Afin d’obtenir la suspension de la limitation provisoire, OpenAI doit tout d’abord, d’ici le 30 avril prochain, mettre au point une notice d’information adressée aux personnes concernées, même si elles ne sont pas des utilisateurs du service, dont les données ont été traitées pour entraîner l’algorithme, expliquant « les modalités du traitement, la logique sous-jacente au traitement nécessaire au fonctionnement du service, leurs droits en tant que personnes concernées et toute autre information requise par le règlement de l’Union ». En outre, « pour les utilisateurs se connectant depuis l’Italie, la notice d’information devra être présentée avant de procéder à l’enregistrement ; toujours avant de procéder à l’enregistrement, il sera demandé aux utilisateurs de déclarer qu’ils sont majeurs. Pour ceux qui sont déjà enregistrés, la notice d’information doit être présentée lors du premier accès suivant la réactivation du service et, à cette occasion, il devra leur être demandé de passer un portique d’âge qui exclut, sur la base de l’âge déclaré, les utilisateurs mineurs ».
En outre, OpenAI devra mettre à la disposition des parties intéressées, y compris celles qui ne sont pas des utilisateurs du service et qui se connectent depuis l’Italie, « un outil leur permettant de demander et d’obtenir la correction des données à caractère personnel les concernant qui ont été traitées de manière inexacte lors de la génération du contenu ou, si cela est impossible en raison de l’état de la technique, la suppression de leurs données à caractère personnel ». OpenAI devra également modifier la base juridique du traitement aux fins de la formation des algorithmes, en remplaçant le contrat par le consentement ou l’intérêt légitime. Il convient de noter que ce dernier peut constituer une base juridique valable si, après mise en balance avec les intérêts ou les droits et libertés de la personne concernée, il est jugé prépondérant par le responsable du traitement — en l’occurrence OpenAI — en vertu du principe de responsabilité. OpenAI devra également permettre aux personnes concernées non utilisatrices d’exercer, de manière simple et accessible, leur droit d’opposition au traitement de leurs données personnelles utilisées pour la formation des algorithmes, et reconnaître un droit similaire aux utilisateurs, si elle identifie l’intérêt légitime comme la base juridique du traitement.
Telles sont les conditions qui doivent être remplies d’ici à la fin du mois d’avril pour que la restriction soit levée. Mais ce n’est pas tout. D’ici le 15 mai 2023, OpenAI devra présenter « une campagne d’information, de nature non promotionnelle, sur tous les principaux médias italiens (radio, télévision, journaux et Internet), dont le contenu devra être convenu avec le Garante afin d’informer les personnes que leurs données personnelles sont susceptibles d’être collectées à des fins de formation d’algorithmes, qu’un avis d’information détaillé a été publié sur le site Web de la société et qu’un outil sera mis à disposition, toujours sur le site Web de la société, grâce auquel toutes les personnes concernées pourront demander et obtenir l’effacement de leurs données personnelles ». En outre, avant le 31 mai 2023, un plan doit être soumis à l’Autorité pour l’adoption d’outils de vérification de l’âge qui excluront de l’accès au service les utilisateurs de moins de 13 ans et les mineurs en l’absence d’une manifestation expresse de volonté de la part de ceux qui exercent la responsabilité parentale. Le plan doit être mis en œuvre au plus tard le 30 septembre 2023.
Critique de la mesure d’urgence du Garante
Dans la mesure d’urgence, le Garante a ordonné que les données faisant l’objet de la limitation provisoire soient identifiées et exclues du traitement. L’entreprise aurait pu continuer à offrir son service en isolant les données des utilisateurs concernés et en fournissant les éclaircissements demandés. Manifestement, elle ne l’a pas fait parce que le mode de fonctionnement de ChatGPT, avec l’entraînement du système à l’aide de quantités importantes et indistinctes de données, ne permet pas d’exclure les utilisateurs en Italie. L’une des critiques adressées au Garante concerne précisément l’impossibilité de procéder à la limitation du traitement, qui a conduit au blocage inévitable et conséquent du service en Italie : cela démontrerait l’inadéquation de la mesure adoptée, puisqu’elle demande une opération qui ne peut être accomplie.
En effet, l’impossibilité d’isoler les données des utilisateurs serait la reconnaissance d’une violation du RGPD. Si OpenAI n’est pas en mesure de répondre aux demandes de l’autorité, étant donné que le mécanisme mis en œuvre par l’intelligence artificielle ne permet pas d’exclure du système les données d’utilisateurs spécifiques, cela signifie que ces données ne peuvent pas être isolées par l’entreprise, même si les utilisateurs individuels demandent à ce qu’elles soient mises à jour, corrigées ou supprimées, ou souhaitent que leur utilisation soit restreinte — et c’est précisément ce que le Garante a demandé. Il s’agit là de droits que le RGPD confère aux personnes concernées (articles 15 à 22), et ceux qui traitent leurs données doivent être en mesure de leur permettre de les exercer.
C’est la principale différence entre un moteur de recherche — où c’est l’utilisateur qui doit évaluer les résultats proposés et décider quelles sources utiliser — et ChatGPT, qui fournit un résultat « pré-packagé », dont la source est perdue dans le processus d’entraînement : les données fournies par n’importe quel moteur de recherche peuvent toujours être isolées, afin de les corriger, de les modifier ou de les supprimer à la demande des parties intéressées, ce qui n’est pas possible pour ChatGPT. De plus, les données traitées par OpenAI ne sont pas seulement celles utilisées pour entraîner la machine à fournir des réponses, mais aussi celles que l’utilisateur génère et partage en formulant ses propres questions. Ces dernières sont d’ailleurs posées au chatbot de manière plus élaborée et personnalisée que la manière dont elles sont exprimées à un moteur de recherche, ce qui implique également la divulgation possible de données sensibles qui contribuent à étayer les actifs informationnels utilisés par le système.
Une autre critique formulée à l’encontre du Garante concerne l’insuffisance de la motivation de sa mesure, d’autant plus qu’aucune urgence ni gravité réelle de la situation n’a pu être décelée. En substance, il est objecté que le pouvoir de l’autorité de prendre des mesures conservatoires coercitives doit être proportionnel à l’urgence de bloquer des situations de traitement illicite de données qui causent un préjudice grave et réel aux droits des personnes concernées — comme dans le cas de la publication de photos et de vidéos relatives au revenge porn par exemple, à la violence envers les mineurs, ou de vidéos ou à des enregistrements sonores publiés illégalement en ligne. Dans ces cas, la gravité et l’urgence du blocage du traitement seraient évidentes, ce qui ne serait pas le cas de l’injonction contre ChatGPT.
Cette critique s’accompagne de remarques sur l’inadéquation du RGPD aux utilisations de l’intelligence artificielle, une inadéquation qui aurait dû suggérer au Garante Privacy une application moins sévère du règlement. Pour cette raison, certains observent que l’autorité italienne aurait mieux fait de se coordonner avec les autres garants européens et avec le Conseil européen de la protection des données (CEPD) dans le cas de ChatGPT. À cet égard, il convient de noter qu’avec OpenAI, la procédure coordonnée prévue par le RGPD pour l’intervention des différentes autorités européennes — le principe du guichet unique (Art. 60 RGPD) — n’a pas pu être appliquée puisque la société n’est pas basée en Europe (seul un représentant légal est basé en Irlande). Dans ce cas, chaque autorité peut agir de manière indépendante. En d’autres termes, l’autorité — celle du pays où l’entreprise est basée, si elle est basée dans l’Union, ou celle qui détecte en premier une infraction — peut toujours agir rapidement pour y mettre fin, dans l’attente d’une enquête plus approfondie. La coordination préalable de 27 autorités, dont chacune a des sensibilités et des priorités différentes, prendrait du temps.
Ces points sur le travail du Garante doivent être dûment pris en considération. Toutefois, il convient de garder à l’esprit un élément essentiel : il n’est jamais facile de concilier l’évolution technologique avec les règles en vigueur — qui sont de toute façon toujours en retard sur le progrès technique, en raison de leur nature même et du calendrier des processus législatifs. L’autorité dispose d’une boîte à outils avec laquelle elle doit intervenir lorsqu’elle constate — sur la base de sa propre évaluation, en tant que responsable de la protection des données à caractère personnel — le risque d’une violation grave des droits des utilisateurs, afin que tout traitement préjudiciable ne se poursuive pas et que les droits soient protégés. En ce qui concerne la critique des modalités utilisées, à savoir une mesure adoptée dans l’urgence, il convient de noter que ces mêmes modalités ont constitué une sorte de pavé dans la mare, rendant visible le problème lié au traitement des données à caractère personnel dans le cadre d’un système d’intelligence artificielle, non seulement au niveau européen, mais aussi au niveau mondial.
Les interventions sur ChatGPT
Or l’Italie n’est pas seule. Le 30 mars, le Center for AI and Digital Policy (CAIDP) a demandé à la Federal Trade Commission (FTC) des États-Unis d’enquêter sur OpenAI concernant ChatGPT3, accusant l’entreprise de violer la section 5 du Federal Trade Commission Act, qui interdit les « actes déloyaux ou trompeurs liés au commerce ». La plainte indique que l’utilisation de l’intelligence artificielle doit être « transparente, explicable, juste et empiriquement valide, tout en promouvant la responsabilité », alors que ChatGPT d’OpenAI « ne répond à aucune de ces exigences », est « biaisé, trompeur et constitue un risque pour la vie privée et la sécurité publique ». Par la suite, le BEUC (Bureau européen des unions de consommateurs), une organisation européenne regroupant 46 associations européennes de consommateurs de 32 pays (Altroconsumo pour l’Italie), a demandé aux autorités chargées de la protection de la vie privée d’évaluer le traitement des données par ChatGPT4.
L’autorité canadienne de protection des données a également ouvert une enquête sur OpenAI le 4 avril à la suite d’une plainte concernant la collecte, l’utilisation et la divulgation d’informations personnelles sans le consentement des personnes concernées5. « La technologie de l’IA et ses effets sur la vie privée sont une priorité » afin de « suivre et d’anticiper les progrès technologiques rapides », a ainsi déclaré Philippe Dufresne, commissaire de l’Autorité canadienne. Les autorités de surveillance en France, en Allemagne et en Irlande ont également ouvert des enquêtes sur ChatGPT6, afin de déterminer si OpenAI enfreint le RGPD.
Enfin, l’Agence espagnole de protection des données a demandé au CEPD de traiter la question d’OpenAI au niveau européen7, afin d’avoir une approche et une interprétation uniformes parmi les différentes autorités de l’Union. Le 13 avril, le CEPD a décidé de lancer un groupe de travail sur le ChatGPT à la suite de la restriction provisoire du traitement adoptée par le Garante italien. « L’objectif de ce groupe de travail est de promouvoir la coopération et l’échange d’informations sur toute initiative d’application du règlement européen menée par les autorités de protection des données ». En d’autres termes, le CEPD accomplira la tâche — envisagée pour le Comité européen par le RGPD — de favoriser la coopération entre les États et d’évaluer la cohérence de l’application du règlement.
L’intervention du Garante Privacy, stigmatisée par certains pour les conséquences qu’elle aurait eues sur le fonctionnement de ChatGPT en Italie, semble avoir eu un résultat positif. L’Autorité italienne a été la première à signaler un problème qui, grâce à son initiative, est maintenant évalué par d’autres et discuté au sein du Comité européen.
Contrairement à ce qui a été affirmé par certains, l’initiative du Garante national — loin de vouloir freiner l’innovation numérique et, en particulier, le développement de l’intelligence artificielle — marque un pas important pour garantir que l’utilisation des nouvelles technologies puisse se faire dans le respect de la protection des données personnelles, en faisant connaître les modalités et les finalités du traitement de ces données. Cela bénéficie non seulement aux utilisateurs du service et aux personnes dont les données sont traitées, mais aussi à la société dans son ensemble. Il ne reste plus qu’à espérer que le législateur européen adoptera le plus rapidement possible une législation sur l’intelligence artificielle — un Artificial Intelligence Act — en faisant preuve d’anticipation dans la formulation de ses règles, afin qu’elles ne soient pas déjà obsolètes au moment où elles seront promulguées. « L’affaire » ChatGPT pourrait servir de leçon pour l’avenir.
Sources
- « Provvedimento del 30 marzo 2023 », Garante per la Protezione dei Dati Personali, 30 mars 2023.
- « Provvedimento del 11 aprile 2023 », Garante per la Protezione dei Dati Personali, 11 avril 2023.
- « In the matter of Open AI », Federal Trade Commission, mars 2023.
- « Investigation by EU authorities needed into ChatGPT technology », European Consumer Organisation, 30 mars 2023.
- Voir le communiqué de presse du 4 avril 2023 de l’Office of the Privacy Commissioner of Canada.
- Supantha Mukherjee, Elvira Pollina et Rachel More, « Italy’s ChatGPT ban attracts EU privacy regulators », Reuters, 3 avril 2023.
- « Spain asks EU data protection board to discuss OpenAI’s ChatGPT », Reuters, 11 avril 2023.