Tour d’horizon par Optimex Data de ChatGPT, nouveau chatbot basé sur l’IA, et de sa conformité au RGPD…
Vous connaissez sans doute ChatGPT, ce chatbot sorti le 30 novembre 2022 et développé par l’entreprise américaine OpenAI fondée par Elon Musk et Sam Altman. Cet outil, « censé » révolutionner le monde, est décrit comme étant un outil conversationnel construit à partir de l’intelligence artificielle. Sur les thématiques du RGPD par exemple, il vous suffit de taper « politique de protection des données » et ChatGPT vous permet d’en obtenir une en quelques secondes ou encore de taper « article RGPD » pour obtenir un article « correct » pour vos contrats. Toutefois, quels sont les dessous ce dispositif ?
Conformité de ChatGPT
Le dispositif étant récent, aucune décision de justice, de jurisprudence ou encore de recommandation n’ont été délivrées concernant ce dispositif. Après analyse de la politique de confidentialité, la société d’Elon Musk ne fait nullement référence au RGPD mais précise que ChatGPT se conforme aux « California Privacy Rights » c’est-à-dire respecte uniquement les données personnelles des résidents de la Californie.
De plus, nous vous rappelons que les transferts de données aux Etats-Unis ne sont plus autorisés depuis l’invalidation du Privacy Shield en 2021. La mise en place de Clauses Contractuelles Types pour palier l’absence de décision d’adéquation a été estimée par la Commission Européenne comme « non-suffisante ».
Blocage de l’accès au ChatGPT en Italie
L’Italie a le 31 mars 2023 interdit l’utilisation de ChatGPT sur son territoire en faisant référence à une violation de données survenue le 20 mars 2023 concernant les conversations des utilisateurs et les informations relatives au paiement des abonnés au service payant. L’Italie met en avant l’absence de base légale permettant de collecter et stocker massivement les données personnelles ainsi que l’absence de filtre permettant de vérifier l’âge des utilisateurs du dispositif.
En effet, l’Italie reproche à ChatGPT « de ne pas avoir mis en place de mécanisme pour empêcher les utilisateurs de moins de 13 ans (âge numérique légal en Italie – 15 ans en France) d’accéder au service ce qui les expose à des réponses absolument inadaptées par rapport à leur degré de développement de conscience en soi ». Cette décision de l’Italie intervient peu de temps après la publication du rapport de l’Agence européenne de police criminelle, Europol, puisque cette dernière faisait référence à des potentielles exploitations de ChatGPT par des cybercriminels à des fins de fraude, de désinformations et d’arnaques.
Et ChatGPT en France ?
Un député Français – Eric BOTHEREL, a saisi la CNIL pour lui demander d’enquêter sur une potentielle violation du RGPD par ChatGPT. Il s’agit de la cinquième plainte déposée en France contre ce dispositif. Contexte de la plainte déposée par le député : celui-ci décide de questionner ChatGPT pour obtenir sa biographie. Le robot a enchainé les erreurs en affirmant que ce dernier avait travailler pour Orange ou en indiquant une date de naissance erronée.
En raison des nombreuses plaintes adressées, la CNIL ouvre une « procédure de contrôle » afin d’instruire les plaintes déposées à l’encontre de ChatGPT. Aucune communication n’a encore été faite par la CNIL à ce sujet. De même et suite à de nombreuses plaintes et l’interdiction d’usage faite par l’Italie, l’Union Européenne s’intéresse très fortement au sujet puisque le CEPD (Comité Européen de la Protection des Données) en charge de coordonner les autorités de contrôle équivalentes à la CNIL dans les différents états membres a annoncé mettre le sujet sur son agenda.
Pour l’heure, nous ne disposons d’aucune autre information. Nous vous demandons d’éviter l’utilisation de cet outil à priori non-respectueux du RGPD et de la Loi Informatique et Libertés. Nous reviendrons vers vous prochainement afin de vous faire part des avancées…