L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lecturePremières plaintes françaises contre ChatGPT
L’intelligence artificielle (IA) développée par l’entreprise américaine Open AI est visée par deux premières plaintes en France.
Que fait ChatGPT de nos données personnelles ? Depuis plusieurs semaines maintenant, des bataillons d’internautes s’amusent à tester les capacités impressionnantes de cet agent conversationnel. Ici, on lui demande de rédiger une lettre de motivation, là de relater l’origine du monde… Mais des utilisateurs commencent à s’inquiéter de la façon dont l’algorithme intelligent exploite leurs propres informations. Victimes de situations ubuesques, certains viennent même de déposer des plaintes auprès de la Commission nationale de l’informatique et des libertés (CNIL), révèle L’Informé.
À commencer par celle de Janus International, une association qui veut sensibiliser aux enjeux du numérique et promouvoir le droit à la vie privée. Dans un courrier envoyé le 4 avril à la CNIL, dont l’Informé a pu obtenir copie, Me Zoé Vilain, avocate et cofondatrice de l’association, a adressé plusieurs reproches à l’éditeur de ChatGPT. « J’ai constaté lors de la création de mon compte dédié, que Open AI ne me demandait ni d’accepter les conditions générales d’utilisation ni une quelconque politique de confidentialité. » Ce manquement n’est pas indolore : il a privé la nouvelle inscrite des informations sur les potentiels traitements mis en œuvre sur ses données personnelles, comme son adresse email ou son numéro téléphone. La juriste relève un second souci : « depuis la création de mon compte, de nombreux articles de presse ont relaté que ChatGPT aurait été entraîné par des données accessibles en ligne, et potentiellement des conversations engagées par ses propres utilisateurs. »
Open AI incapable de répondre au droit d’accès aux données
Pour faire toute la lumière, Me Zoé Vilain a donc demandé le 7 février dernier à Open AI de lui envoyer toutes les informations la concernant : les données traitées par l’éditeur (données de compte, d’utilisation et de conversation), celles transférées à des tiers, par exemple à des fins publicitaires, et les autres données collectées comme les informations de navigation, de profilage et les cookies. Enfin, toujours au titre de son « droit d’accès », elle a réclamé des explications sur les « finalités » de ces traitements, les catégories de données aspirées, leurs destinataires ou encore la durée de conservation de l’ensemble de ces pièces. En guise de réponse, Open AI s’est contenté de lui réclamer le 8 mars son numéro de téléphone aux fins d’identification. Malgré la communication de cette donnée surabondante, la start-up américaine lui a finalement rétorqué être dans l’impossibilité de retrouver de compte associé à ce numéro.
Me Zoé Vilain vient donc d’adresser une plainte à la CNIL où elle rappelle que le RGPD exige que le responsable du traitement « démontre qu’il n’est pas en mesure d’identifier la personne concernée ». Or, écrit-elle, « la demande d’accès à mes données personnelles adressée à Open AI comportait l’adresse email associée à mon compte dédié. Dès lors, Open AI aurait dû se trouver en mesure de m’identifier et ne devait procéder à aucune vérification supplémentaire pour m’identifier ». Et pour l’avocate, il n’y a pas mille alternatives : « soit Open AI refuse de donner droit à ma demande d’accès à mes données personnelles, ce qui constitue une violation du RGPD, soit Open AI ne serait pas en mesure de m’identifier alors même que j’ai un compte sur son site, et cela constituerait une violation encore plus grave du droit des données personnelles ». Elle invite en conséquence la CNIL à constater cette défaillance puis à adresser à l’éditeur une mise en demeure de faire droit à sa demande d’accès pour exiger enfin qu’il soumette ses nouveaux utilisateurs à une politique de confidentialité.
ChatGPT et le risque réputationnel
En France, une autre plainte a été adressée par David Libeau, un développeur, membre de l’association Exodus Privacy & Open Knowledge France. « Je me suis rendu compte que l’organisme en cause avait collecté certaines de mes données personnelles sans m’en avoir informé » écrit-il dans le courrier adressé le 1er avril à la commission, que l’Informé a pu là encore consulter. Il relève qu’en questionnant le service sur son identité, ChatGPT lui a attribué l’organisation en 2018 de manifestations en ligne contre la directive sur le droit d’auteur ou encore la création de l’association la Quadrature du Net. Autant d’informations fausses qui témoigneraient d’un défaut de loyauté, l’un des piliers du RGPD, et qui pourraient « avoir des conséquences négatives pour les personnes concernées » et « nuire à la réputation », commente l’intéressé sur son blog. Il s’interroge également sur le fondement juridique qui a permis à ChatGPT de brasser ses données nominatives dans ses rouages algorithmiques.
Cette mobilisation des plaignants pourrait forcer les autorités françaises à bouger. Jusque-là, la CNIL s’est montrée plutôt atone sur le sujet. Contactée vendredi 31 mars par l’Informé, avant les dépôts de plainte, elle promettait de « clarifier le cadre légal dans les prochains mois » s’agissant des bases d’apprentissage et des IA génératives. Elle précisait aussi avoir pris contact avec son homologue italienne, autrement plus remontée, « afin d’échanger sur les constats qui ont pu être faits ». En raison de possibles indélicatesses avec le RGPD, la Garante per la protezione dei dati personali a interdit temporairement à Open AI LLC de traiter les données des utilisateurs Italiens le 30 mars 2023 dernier. Une première. Déjà, prévient l’autorité italienne, « aucune information n’est fournie aux utilisateurs et aux personnes concernées dont les données sont collectées par OpenAI ». De plus, l’entreprise américaine n’explique pas la base juridique sur laquelle repose la collecte massive des données effectuée « en vue d’« entraîner » les algorithmes sur lesquels la plateforme s’appuie ». Durant l’instruction, ses tests menés en Italie ont montré que les réponses données par l’algorithme « ne correspond[ai]ent pas toujours aux circonstances factuelles », ce qui indiquerait que « des données personnelles inexactes sont traitées ». Enfin, l’autorité reproche à Open AI l’absence de vérification d’âge pour les mineurs. Cette lacune « expose les enfants à recevoir des réponses absolument inappropriées à leur âge et à leur sensibilité, alors même que le service serait destiné à des utilisateurs âgés de plus de 13 ans selon les conditions d’utilisation d’Open AI ». La CNIL italienne a exigé des réponses de l’éditeur américain dans les 20 jours. À défaut, il pourra écoper jusqu’à 20 millions d’euros d’amende (ou 4 % de son chiffre d’affaires mondial total).
