Le 23 mai 2024, le CEPD a rendu un rapport au sujet de ChatGPT, l’outil d’intelligence artificielle proposé par la société américaine OpenAI. Ce document met en lumière un certain nombre de sujets relatifs à la conformité au RGPD.
Le CEPD a décidé de mandater une « task force », afin d’échanger avec OpenAI au sujet la conformité au RGPD de son outil ChatGPT. Si cette mission est toujours en cours, le CEPD a d’ores et déjà rendu public un rapport préliminaire faisant état des premiers résultats de ces investigations.
Un principe de licéité imposant une collecte moins large
En premier lieu, le CEPD indique que le principe de licéité, tel que formulé dans le RGPD, pourrait être mis en péril par ChatGPT, dans la mesure où cet outil d’intelligence artificielle procède à du « web scraping » afin de collecter les données utiles à son entrainement, dont certaines sont personnelles, voire sensibles. OpenIA indique se fonder sur la poursuite de son intérêt légitime.
Pour le CEPD, qui paraphrase ici le RGPD, cette base légale nécessite de procéder à une mise en balance des intérêts d’OpenIA et des droits et libertés des personnes concernées. Le CEPD suggère, en l’état actuel des investigations, que des mesures techniques visant à restreindre l’étendue des données personnelles collectées soient implémentées, afin de ménager les droits et libertés des personnes concernées.
Le principe de loyauté : pas de transfert de risque
Selon le CEPD, le principe de loyauté impose au responsable du traitement de ne pas transférer le « risque juridique » aux personnes concernées. Cela signifie que les conditions d’utilisation de ChatGPT ne peuvent pas rendre les personnes concernées responsables des informations qu’elles rentrent au moyen du chat.
Au contraire, OpenIA doit partir du principe que les utilisateurs vont rentrer des données à caractère personnel via le chat. Elle reste, à cet égard, responsable de la réutilisation de ces données et s’assurer que celle-ci est conforme au RGPD.
Une exemption s’agissant du principe de transparence
Lorsque ChatGPT procède à des opérations de « web scraping », le CEPD considère, compte tenu du volume de données collectées, qu’il n’est pas possible d’informer les personnes concernées, ce qui pourrait justifier qu’OpenIA soit exemptée de délivrer une telle information.
En revanche, les données personnelles collectées lors des interactions entre ChatGPT et les utilisateurs doivent faire l’objet d’une information dédiée, OpenIA étant ici en relation directe avec l’utilisateur, qui se trouve sur son site internet.
Un principe d’exactitude difficilement conciliable avec des réponses probabilistes
Le principe d’exactitude impose à OpenIA de s’assurer que les données à caractère personnel contenues dans les réponses (ou « outputs ») apportées par ChatGPT soient exactes. Pour rappel, les outputs de ChatGPT sont conçus au moyen d’une approche probabiliste, ce qui signifie qu’une information émanant de ChatGPT peut être biaisée, voire totalement inventée.
Sur ce point, le CEPD suggère qu’une information claire soit délivrée aux utilisateurs quant à l’approche probabiliste de la création d’outputs. Le CEPD tempère néanmoins sa proposition, en indiquant que cette mesure relèverait plutôt du principe de transparence et serait, à elle seule, insuffisante pour se conformer au principe d’exactitude.
Pour en savoir plus sur cette problématique, contactez nos avocats spécialisés en droit des données personnelles