Les traitements de données par ChatGPT répondent-ils aux exigences de protection des autorités européennes ? Vendredi, le Comité européen de la protection des données (EDPB), qui réunit les différentes autorités nationales, dont la CNIL en France, a publié un rapport qui rappelle qu’OpenAI a encore beaucoup à faire pour clarifier ses pratiques et renforcer la conformité de son service au Règlement Général sur la Protection des Données (RGPD).
Depuis le lancement de ChatGPT en novembre 2022, plusieurs autorités ont lancé des investigations sur les traitements de données personnelles par OpenAI. Après la décision de l’Italie de bloquer temporairement l’accès à ChatGPT en mars 2023, l’EPDB a constitué dès le mois suivant un groupe de travail « pour favoriser la coopération et échanger des informations sur d’éventuelles mesures coercitives menées par les autorités de protection des données ».
Les enquêtes se poursuivent sur les aspects de légalité, de transparence, d’exactitude des données et des droits des personnes concernées. Le rapport publié reflète les positions communes adoptées par les autorités en interprétant les dispositions du RGPD relatives aux traitements effectués par ChatGPT.
En termes de légalité des traitements, le rapport souligne les problèmes soulevés par l’extraction automatisée des données des sites web via le « web scraping ». OpenAI utilise l’intérêt légitime comme base légale pour cette collecte, mais doit garantir des mesures adéquates comme la suppression ou l’anonymisation des données sensibles.
Sur la transparence, les membres de l’EDPB attendent d’OpenAI une information claire des utilisateurs sur l’utilisation de leurs données à des fins d’entrainement du modèle. Par ailleurs, au nom du principe d’équité, la responsabilité de la conformité au RGPD ne doit pas être transférée aux utilisateurs. « Par exemple en plaçant une clause dans les Conditions générales qui stipulent que les utilisateurs sont responsables de leurs entrées dans le chat », illustre le rapport.
L’exactitude des données, l’un des principes directeurs de l’ensemble des règles de protection des données de l’UE, est un autre point de vigilance.
« En fait, en raison de la nature probabiliste du système, l’approche actuelle en matière de formation conduit à un modèle qui peut également produire des résultats biaisés ou inventés », rappelle le rapport. « En outre, les résultats fournis par ChatGPT sont susceptibles d’être considérés comme factuellement exacts par les utilisateurs finaux, y compris les informations relatives aux individus, quelle que soit leur exactitude réelle ».
Là encore, il revient à OpenAI de bien informer les utilisateurs de ces limitations, tout comme il doit leur permettre d’exercer de manière simple et efficace tous leurs droits (accès, rectification, effacement, etc.).
Le rapport inclut un questionnaire détaillé destiné à OpenAI pour recueillir des informations sur l’infrastructure de ChatGPT, les mesures de protection des données, l’évaluation des impacts et les bases légales pour le traitement des données. Les réponses aideront les États membres à aligner leurs positions et à créer des politiques générales « transparentes ».