Le 2 novembre 2024, l’autorité italienne de protection des données (la Garante) a rendu une décision condamnant OpenAI, l’éditeur du modèle d’intelligence artificielle à usage général GPT-3, pour violation du Règlement général sur la protection des données (RGPD). Au cœur du débat, la question de la formation et de l’entrainement du modèle d’intelligence artificielle (IA) à partir de données d’individus, massivement collectées sur internet (scraping).
La condamnation du 2 novembre 2024 intervient directement dans le prolongement de l’interdiction temporaire de ChatGPT en Italie, en avril 2023.
Petit retour en arrière : début 2023, quelques mois seulement après le lancement de son modèle d’intelligence artificielle GPT-3 et des services ChatGPT au grand public, plusieurs enquêtes étaient ouvertes en Europe pour violation du RGPD. Par plusieurs décisions de mars et avril 2023, l’autorité de protection italienne interdisait de manière immédiate et temporaire ChatGPT en Italie, avant de se raviser quelques semaines plus tard, au regard des mesures correctives mises en place par l’éditeur.
La décision du 2 novembre 2024 intervient après plusieurs mois d’enquêtes et constitue la première condamnation financière d’OpenAI en Europe pour non-respect du RGPD. Elle met en lumière plusieurs points cruciaux pour les acteurs du secteur de l’IA et, plus largement, pour les entreprises qui utilisent l’IA à des fins professionnelles.
La première condamnation financière d’OpenAI
La confirmation de la violation des principes fondamentaux du RGPD
L’autorité italienne a relevé une série de manquements au RGPD (ex : défaut de notification d’une violation de données, absence de vérification de l’âge de l’utilisateur…). Les plus graves consistent en :
- l’absence d’identification et de choix de la base juridique du traitement, avant le début du traitement, notamment pour ce qui concerne la phase d’apprentissage de ChatGPT. OpenAI ne pouvant se prévaloir a posteriori d’un intérêt légitime, elle a violé le RGPD ;
- la violation des droits des personnes intéressées, en particulier de l’obligation d’information des personnes concernant les traitements réalisés aux fins de formation des modèles et plus généralement le manque de transparence.
En particulier, OpenAI s’est abstenue d’informer les individus dont les données étaient scrapées sur internet, et qui n’étaient pas utilisateurs de ses services, du traitement de leurs données personnelles à des fins de formation du modèle d’IA.
Pour ce qui concerne les utilisateurs, la politique de confidentialité était difficilement accessible en anglais, ce qui ne permettait pas une information adéquate des personnes.
Certains manquements étant continus et encore en cours, l’autorité saisit par ailleurs l’autorité irlandaise de plusieurs sujets.
A commencer par la violation du principe d’exactitude et de la fiabilité des traitements, question brulante qui demeure à date « ouverte ». Certes, compte tenu de la nature probabiliste du système, l’autorité italienne reconnait que ChatGPT n’a pas pour finalité de fournir des résultats fiables, ce dont OpenAI a informé les utilisateurs. Elle souligne également qu’OpenAI a bien mis en œuvre des mesures pour identifier et supprimer les informations inexactes (identification des informations inexactes à chaque phase de formation du modèle, instruction au modèle de refuser de traiter des informations personnelles ou sensibles, possibilité pour les individus de notifier les inexactitudes et de solliciter leur correction) et s’est engagé à améliorer de manière continue la fiabilité de son modèle. Mais, malgré cela, l’autorité italienne considère qu’Open AI continue d’être en infraction à ce principe, ce qui justifie le transfert des éléments à l’autorité irlandaise chef de file, compétente à date pour les manquements au RGPD en vertu du mécanisme du guichet unique, Open AI disposant désormais d’une filiale en Union Européenne.
La condamnation : une amende administrative de 15 millions d’euros
La Garante condamne Open AI à une amende administrative de 15 millions d’euros et à la réalisation d’une nouvelle campagne de sensibilisation à destination du public italien (fonctionnement de ChatGPT, impacts des traitements de données sur la vie privée, droits offerts par le RGPD…).
Si l’amende prononcée par l’autorité italienne peut, dans un premier temps, paraitre élevée, qui plus est au regard de la durée des infractions concernées (l’autorité compétente pour tout manquement à compter de février 2024 étant l’autorité irlandaise chef de file), ce montant doit être relativisé[1]. Qui plus est à l’aune de la tendance actuelle de multiplication des condamnations à l’encontre des GAFAMs.
Open AI considérant la sanction comme disproportionnée a indiqué faire appel de cette décision.
A noter que les autorités européennes pourraient néanmoins ne pas s’arrêter là ; l’autorité irlandaise, chef de file, ayant ouvert une enquête et une task force ayant été constituée au niveau européen (dont les premières conclusions ont été publiée le 23 mai 2024).
Quels enseignements en tirer ?
Les enjeux pour les éditeurs de modèles et systèmes d’intelligence artificielle
Anticiper dès la phase de conception du modèle ou du système d’IA la conformité au RGPD mais également à l’IA Act, est essentiel.
Cette condamnation rappelle aux éditeurs de modèle et de système d’IA Générative qu’une attention particulière doit être apportée concernant les traitements de données personnelles réalisés à des fins de formation. Si une interprétation plus souple du RGPD semble possible (comme le laissent entendre les recommandations de la CNIL et du RGPD en matière d’intelligence artificielle), les traitements doivent être licites, transparents et proportionnés. Le nombre de personnes dont les données sont scrappées sur internet ne justifierait par ailleurs aucune exonération du respect du devoir d’information.
En outre, informer les utilisateurs que leurs données et prompts peuvent être réutilisés à des fins d’amélioration des services ne suffit pas. L’Autorité considère que l’éditeur est tenu d’informer les personnes de la finalité spécifique, innovante et particulière de formation des modèles d’IA. Un élément essentiel à considérer lors de la rédaction des mentions d’information, qui devront être précises.
Quelles conséquences pour les entreprises utilisatrices de systèmes d’IA en général et de ChatGPT en particulier ?
Les entreprises qui déploient des modèles et des systèmes d’IA doivent être conscientes des implications juridiques de cette décision. En tant que responsables de traitement de données personnelles, elles doivent s’assurer que les traitements réalisés au moyen de ces systèmes (comme ChatGPT), lors de la phase de déploiement, respectent le RGPD.
Comme le rappelle le CEPD dans son avis du 17 décembre 2024 (voir notre article ici) sur les modèles d’IA, l’entreprise déployant un modèle d’IA se doit de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données (« principe d’accountability »). Il est ainsi recommandé de réaliser une évaluation appropriée en amont du choix et du déploiement du système, pour démontrer la conformité des traitements réalisés aux principes essentiels du RGPD et leur licéité.
Le CEPD considère par ailleurs que, lorsqu’un modèle d’IA a été développé et entrainé avec des données personnelles traitées illégalement, cela peut avoir des conséquences sur la licéité de son déploiement et de son utilisation, sauf à ce que le modèle ait été anonymisé de manière effective.
Or, pour qu’un modèle soit considéré comme anonyme, selon le CEPD, deux conditions cumulatives doivent être réunies. Il doit être très peu probable :
- d’identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle ; et
- qu’il soit possible d’obtenir, d’extraire ces données personnelles du modèle par le biais de requêtes.
Concrètement, les déployeurs devront donc s’assurer que le modèle d’IA déployé n’a pas été développé grâce à un traitement illicite de données à caractère personnel ou que le modèle d’IA soit effectivement anonymisé.
Cela implique-t-il que tout utilisateur de Chat GPT serait en écart avec la règlementation européenne et passible de sanctions ?
Concernant GPT-3, compte tenu de la décision de condamnation italienne et du rapport du CEPD de mai 2024, les déployeurs ne pourront ignorer que le traitement initial mis en œuvre par Open AI a été contraire au RGPD. Mais en serait-il de même pour GPT-4 ?
Ceci relance encore une fois le débat d’une difficile articulation entre le respect strict de la règlementation de protection des données et le risque de retard européen à l’innovation et à l’adoption des IA Génératives.
Affaire à suivre donc, le déploiement des IA génératives étant massif au sein des entreprises, posant concrètement la question des risques réellement encourus par les entreprises utilisatrices.
Sophie Duperray
Avocat of Counsel
Sources : Décision Garante Open AI du 2 novembre 2024 (en italien) ; Communiqué de presse de la Garante du 20 décembre 2024.
[1] Il représente à peine plus de 1.5 % du chiffre d’affaires mondial d’Open AI. Bien loin donc de la sanction encourue, équivalant au montant le plus élevé entre 4% du chiffre d’affaires mondial ou 20 millions d’euros. L’autorité a d’ailleurs souligné la collaboration d’Open AI et la mise en œuvre à compter du mois de mars 2023 de mesures correctives dans le prolongement de la sanction temporaire d’interdiction du service.
