Il y a un an, le Conseil européen de la protection des données a mis en place le groupe de travail ChatGPT afin de déterminer si le traitement des données personnelles par l'OpenAI était conforme aux lois du GDPR. Un rapport décrivant les conclusions préliminaires vient d'être publié.
L'UE est extrêmement stricte quant à l'utilisation des données personnelles de ses citoyens, les règles du GDPR définissant explicitement ce que les entreprises peuvent et ne peuvent pas faire avec ces données.
Les entreprises d'IA comme OpenAI respectent-elles ces lois lorsqu'elles utilisent des données pour l'entraînement et le fonctionnement de leurs modèles ? Un an après le début des travaux de la taskforce ChatGPT, la réponse courte est : peut-être, peut-être pas.
Le rapport indique qu'elle publie des résultats préliminaires et qu'"il n'est pas encore possible de fournir une description complète des résultats".
Les trois principaux domaines examinés par la taskforce sont la légalité, l'équité et la précision.
Légalité
Pour créer ses modèles, OpenAI a collecté des données publiques, les a filtrées, les a utilisées pour entraîner ses modèles et continue d'entraîner ses modèles à l'aide d'invites de l'utilisateur. Est-ce légal en Europe ?
Le "web scraping" d'OpenAI permet inévitablement de collecter des données à caractère personnel. Le GDPR stipule que vous ne pouvez utiliser ces informations qu'en cas d'intérêt légitime et en tenant compte des attentes raisonnables des personnes quant à l'utilisation de leurs données.
OpenAI affirme que ses modèles sont conformes à l'article 6, paragraphe 1, point f), du règlement GDPR, qui stipule notamment que l'utilisation de données à caractère personnel est légale lorsque "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers".
Le rapport indique que "des mesures devraient être mises en place pour supprimer ou anonymiser les données personnelles qui ont été collectées par le biais du web scraping avant l'étape de la formation".
OpenAI affirme avoir mis en place des mesures de protection des données personnelles, mais le groupe de travail précise que "la charge de la preuve de l'efficacité de ces mesures incombe à OpenAI".
L'équité
Lorsque les citoyens de l'UE interagissent avec les entreprises, ils s'attendent à ce que leurs données personnelles soient traitées correctement.
Est-il juste que ChatGPT ait une clause dans les Termes et Conditions qui dit que les utilisateurs sont responsables de leurs entrées de chat ? Le GDPR stipule qu'une organisation ne peut pas transférer la responsabilité de la conformité au GDPR à l'utilisateur.
Le rapport indique que si "ChatGPT est mis à la disposition du public, il faut supposer que les individus introduiront tôt ou tard des données personnelles. Si ces données sont ensuite intégrées au modèle de données et, par exemple, partagées avec toute personne posant une question spécifique, OpenAI reste responsable du respect du GDPR et ne doit pas prétendre que la saisie de certaines données personnelles était interdite en premier lieu".
Le rapport conclut que l'OpenAI doit faire preuve de transparence en informant explicitement les utilisateurs que leurs commentaires peuvent être utilisés à des fins de formation.
Précision
Modèles d'IA halluciner et ChatGPT ne fait pas exception. Lorsqu'il ne connaît pas la réponse, il invente parfois quelque chose. Lorsqu'il fournit des informations erronées sur des personnes, ChatGPT ne respecte pas les exigences du GDPR en matière d'exactitude des données à caractère personnel.
Le rapport note que "les résultats fournis par ChatGPT sont susceptibles d'être considérés comme exacts par les utilisateurs finaux, y compris les informations relatives aux personnes, indépendamment de leur exactitude réelle".
Même si le ChatGPT avertit les utilisateurs qu'il commet parfois des erreurs, la task force estime que cela n'est pas suffisant pour respecter le principe d'exactitude des données.
OpenAI fait l'objet d'un procès parce que ChatGPT continue de se tromper sur la date de naissance d'une personnalité publique importante.
L'entreprise a déclaré dans sa défense que le problème ne peut être résolu et les gens devraient plutôt demander que toute référence à eux soit effacée du modèle.
En septembre dernier, OpenAI a créé une entité juridique irlandaise à Dublin, qui relève désormais de la Commission irlandaise de protection des données (DPC). Cela la met à l'abri des problèmes liés au GDPR dans les différents États membres de l'UE.
La taskforce ChatGPT présentera-t-elle des conclusions juridiquement contraignantes dans son prochain rapport ? OpenAI pourrait-elle s'y conformer, même si elle le souhaitait ?
Dans leur forme actuelle, le ChatGPT et d'autres modèles pourraient ne jamais être en mesure de se conformer complètement aux règles de protection de la vie privée qui ont été rédigées avant l'avènement de l'IA.