L’essor fulgurant de l’intelligence artificielle (IA) soulève de nombreuses questions juridiques et éthiques, notamment en matière de protection des données personnelles. La procédure intentée par l’association NOYB (None Of Your Business) contre OpenAI, créateur de ChatGPT, met en lumière les tensions entre innovation technologique et respect de la vie privée.
Pour rappel NOYB est l’association du célèbre Maximilian Schrems, fervent militant pour la protection des données personnelles en Europe. Il a obtenu plusieurs décisions favorables ayant conduit à l’invalidation des accords Safe Harbour puis Privacy Shield portant sur le transfert de données personnelles aux Etats-Unis au profit de Facebook.
Ainsi, cette plainte, déposée auprès de l’autorité autrichienne de protection des données, vise l’imprécision des données et les hallucinations de ChatGPT contraires au principe d’exactitude défendu par le Règlement Général sur la Protection des Données personnelles. Elle vise également à contester la non prise en compte effective des droits d’accès et de rectification des utilisateurs par OpenAI [1].
Les arguments avancés par NOYB semblent trouver un écho dans le rapport récemment publié par le Comité européen de la protection des données (CEPD à propos de OpenAI [2].
Ce document souligne les manquements d’OpenAI vis-à-vis des exigences du Règlement général sur la protection des données (RGPD), notamment sur plusieurs principes sur lesquels s’articule le RGPD dont la licéité, la loyauté, la transparence, l’exactitude, la garantie des droits.
Si elle aboutissait, elle pourrait avoir des répercussions considérables sur le développement de l’IA en Europe, freinant potentiellement l’innovation autour de l’IA ou exigeant un coût de mise en conformité très important.
Cette situation soulève une problématique de savoir comment concilier le développement rapide de l’IA avec les exigences de protection des données personnelles imposées par le RGPD.
Une analyse des non-conformités posée par l’IA à travers OpenIA permet de mesurer le défi des organismes de contrôles RGPD face à l’urgence de la protection des données personnelles des utilisateurs dans ce contexte de course à l’innovation.
I. L’analyse des non-conformités RGPD posées par les systèmes d’IA générative.
Dans le sillage des arguments de l’association NOYB de Maximilian Schrems, le CEPD pointe du doigt plusieurs problématiques qui laissent voir que le Privacy by Design n’a pas été assez intégré.
En effet, plusieurs cas de violation du RGPD peuvent être relevés :
Le Principe de licéité (Article 6 et 9 du RGPD) :
la collecte des données automatisées opérée par OpenAI et les systèmes d’IA depuis plusieurs sources notamment via le "web scraping" sans examen indépendant préalable pose la question de la licéité de la collecte. En effet, la quantité massive de données collectées implique également des données personnelles, voire sensibles et la question de la détermination de leur base légale ainsi que de l’applicabilité légitime des exceptions se pose.
Le principe de loyauté (Article 5 (1) du RGPD :
Les modalités de création et de fonctionnement actuel de l’IA Générative telles que conçues impliquent un manque de maîtrise de la protection des données personnelles. Or le principe de loyauté suppose que les données à caractère personnel ne doivent pas être traitées de manière injustement préjudiciable. Face à cette exigence les responsables de traitement sont tentés de transférer le risque qui leur incombe de garantir la protection des droits des personnes vers les utilisateurs par l’intégration dans leurs CGV des mentions de “disclaimer” qui reporteront sur les utilisateurs l’obligation de protéger eux-mêmes leurs données personnelles. Le CEPD a rappelé sa vigilance sur ce point à OpenAI.
Principe d’exactitude Article 5 (1) (d) du RGPD :
Les informations incorrectes délivrées par l’IA générative dont OpenIA à travers les hallucinations viole l’article 5 du RGPD cela d’autant plus lorsqu’elle porte sur des informations personnelles. En effet, les informations générées peuvent être biaisées, incorrectes. Toutefois, OpenAI doit garantir l’exactitude des données même si la nature probabiliste du système ne le permettrait pas. L’excuse des défis techniques ne saurait prospérer.
Principe de transparence et obligation d’information (Article 14 et 13 du RGPD) :
Avec le Web scraping et les entraînements pratiqués, OpenAI doit donner une information claire sur les données recueillies, les modalités de création des résultats et les données entrées par l’utilisateur au moment de l’utilisation de certaines fonctionnalités ou usages de l’IA. Dans la mesure où ces utilisations sont susceptibles d’affecter les droits, ces informations doivent être mises à la disposition de l’utilisateur par le responsable de traitement qu’est OpenAI de manière claire et compréhensible, en particulier relativement à l’utilisation de leurs données pour l’entraînement.
Par ailleurs, dans la mesure où le modèle probabiliste a une incidence sur le niveau de fiabilité limité du résultat obtenu, Il est important que des informations adéquates sur leur niveau de fiabilité limité soient fournies par le responsable du traitement, y compris une référence explicite au fait que le texte généré, bien que syntaxiquement correct, peut être biaisé ou inventé.
Droits de la personne concernée (Article 12, 13, 14, 15, 17 du RGPD) :
La garantie des droits des personnes doit également être assurée dans cette course à l’innovation conformément au RGPD. À travers OpenAI, le CEPD rappelle l’obligation de mettre en place des mesures adéquates permettant le droit d’accéder aux données personnelles et d’être informé sur la manière dont elles sont traitées, sous certaines conditions, de transmettre des données personnelles à un tiers, de supprimer, ou de rectifier les données lorsque celles-ci sont erronées. Sur ce point, présentement, techniquement et humainement, cela semble être une vraie gageure, car la complexité technique du système ne saurait être une excuse.
Face à ces critiques, OpenAI a entrepris des efforts de mise en conformité, notamment en introduisant un mode confidentiel pour ChatGPT et en modifiant ses conditions d’utilisation pour les API GPT. Cependant, ces mesures ont été jugées insuffisantes par le CEPD, qui estime qu’elles ne répondent pas pleinement aux exigences du RGPD.
Dans ce contexte, OpenAI s’expose à des risques de sanctions significatives de la part des autorités de protection des données. C’est d’ailleurs ce que demande l’association NOYB dans sa plainte afin d’inciter OpenAI à trouver des solutions de conformité à la mesure des enjeux liés à l’IA.
À ce titre, il convient de préciser que le RGPD prévoit en effet des amendes pouvant atteindre 4% du chiffre d’affaires annuel mondial tandis que sur d’autres continents comme en Afrique, le Nigéria est monté récemment jusqu’à 220 millions de dollars d’amende contre Méta propriétaire de Whatsapp.
Au-delà de l’aspect financier, une sanction pourrait également avoir une incidence réputationnelle considérable pour l’entreprise.
Parallèlement, l’utilisation de l’IA en Europe avec ces non-conformités pourrait porter atteinte à la réputation des organismes de régulation quant à leur capacité à garantir le respect des droits de ses justiciables.
Un dilemme que ces acteurs doivent trouver le moyen de juguler tout en ne freinant pas l’innovation.
II. La recherche d’équilibre entre conformité et innovation par les organismes de contrôle.
D’un point de vue « juristratégique », l’attitude d’OpenAI semble relever d’un calcul risque/bénéfice.
L’entreprise semble avoir choisi d’accepter le risque de sanctions, estimant que les gains potentiels liés à l’innovation et au développement rapide de son IA surpassent les coûts éventuels d’une non-conformité. Cette approche, bien que risquée, n’est pas sans précédent dans le monde technologique.
Parallèlement, les organismes de régulation européens se trouvent confrontés à un dilemme. D’un côté, une application stricte du RGPD pourrait freiner l’innovation en IA, risquant de placer l’Europe en marge de cette révolution technologique. De l’autre, une approche plus souple pourrait compromettre les principes fondamentaux de protection des données personnelles que l’UE s’efforce de promouvoir.
La voie médiane pourrait consister à adopter une approche progressive, encourageant l’innovation tout en fixant des jalons clairs pour une mise en conformité graduelle. Cette stratégie permettrait de concilier le développement de l’IA avec les exigences de protection des données, favorisant l’émergence d’une IA responsable et éthique "made in Europe".
À ce titre, comme pour le RGPD et le devoir de vigilance européen, l’Europe vis-à-vis des autres continents s’est positionnée à l’avant-garde de la protection des droits fondamentaux des personnes avec la consécration de l’IA act promulgué le 12 juillet 2024. Même si certaines mesures sont critiquées, car trop contraignantes en termes de mise en conformité au risque de bloquer l’innovation, il se base à certains égards sur une philosophie pro innovation.
Les organismes de contrôle du RGPD semblent lui emboîter le pas. Il en est ainsi du positionnement de la CNIL qui semble opter pour une recherche d’équilibre “d’innovation Partener”.
En effet, tout comme la CEPD vis-à-vis de OpenAI, la CNIL n’a pas choisi d’interdire ChatGPT comme l’avait fait dans un premier temps son homologue italien. Le choix a été fait de laisser l’utilisation se poursuivre et de travailler à accompagner les différentes parties prenantes dans un déploiement et une utilisation conforme au RGPD. D’ailleurs, dans son plan d’action sur l’intelligence artificielle publié en mai 2023, la CNIL soutenait vouloir « permettre et encadrer le développement d’IA respectueuses de la vie privée ; fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe » [3].
En mai 2024 à l’issue d’une consultation publique, elle a publié ses premières recommandations sur le développement de système d’IA Générative afin, dit-elle clairement, d’aider les professionnels à concilier innovation et respect des droits des personnes pour le développement innovant et responsable de leurs systèmes d’IA [4].
Enfin, dans sa dernière Foire aux Questions du 18 juillet 2024, la CNIL a publié ses premières réponses pour un déploiement responsable et respectueux de la protection des données de l’IA Générative dans les organisations.
Dans un contexte où les mesures techniques sont encore jugées insuffisantes à garantir suffisamment la protection des droits des personnes, la CNIL a jugé nécessaire de sensibiliser les organisations sur une utilisation conforme des systèmes d’IA Générative [5].
Ainsi, ce positionnement de recherche d’équilibre sur la ligne de tension entre l’encouragement de l’innovation et la protection des données personnelles et ce que nous sommes en droit d’attendre de la part des organismes de régulation de l’IA dans ce contexte d’effervescence de l’innovation qui n’a pas encore délivré toutes ses promesses.
Cela, en attendant l’issue de l’affaire NOYB qui donnera le ton sur l’avenir du développement et du déploiement des systèmes d’IA Générative, en droite ligne de la protection des données personnelles des utilisateurs en Europe.
Le CEPD ainsi que les autorités de contrôle concernées sont encore à la tâche pour analyser le balancement des divers intérêts en jeu d’une part et la mise en place et l’amélioration attendue des mesures techniques de protection des données personnelles par OpenAI d’autre part. Une décision très attendue, car elle fera jurisprudence pour toutes les autres entreprises qui déploient des systèmes d’IA.
Discussion en cours :
Points Juridiques Clés
1. Problématique de l’Exactitude
• Violation de l’article 5(1)(d) du RGPD concernant l’exactitude des données
• Impossibilité technique de correction des données inexactes
• Responsabilité du responsable de traitement engagée
2. Questions de Conformité
• Non-respect du principe de minimisation des données
• Absence de base légale claire pour le traitement
• Transfert inapproprié du risque juridique aux utilisateurs
Implications Pratiques
Mesures Requises
• Mise en place de mécanismes de correction efficaces
• Information claire sur le caractère probabiliste des réponses
• Documentation exhaustive des traitements
Cette situation soulève des questions fondamentales sur l’applicabilité du RGPD aux systèmes d’IA générative et la nécessité d’adaptations réglementaires spécifiques.