Le 31 mars dernier, l’Autorité italienne de protection des données personnelles, la Garante per la protezione dei dati personali, veillant au respect du RGPD sur le territoire italien, a décidé de bloquer Chat GPT pour les utilisateurs italiens, en raison du non-respect du RGPD.
A l’heure où Elon Musk, co-fondateur d’Open AI, ainsi que des centaines d’experts mondiaux ont plaidé pour une suspension dans la recherche sur les intelligences artificielles, craignant “des risques majeurs pour l’humanité”, le RGPD semble pour l’instant s’affirmer comme le principal rempart juridique face à la montée en puissance des intelligences artificielles.
Rappel sur le RGPD
Le Règlement Général sur la Protection des Données (RGPD), est un règlement européen entré en vigueur le 25 mai 2018. Il établit des règles strictes en matière de protection des données à caractère personnel des citoyens de l’Union européenne, et s’applique à toute organisation qui traite ces données, qu’elle soit basée dans l’Union européenne ou non.
La CNIL, l’autorité chargée de veiller à la protection des données personnelles en France, affirme que le RGPD poursuit trois objectifs principaux :
- Le renforcement des droits des personnes, et notamment des mineurs.
- La responsabilisation des acteurs traitant des données.
- Le renforcement de la crédibilité de la régulation grâce à une coopération renforcée entre les autorités de protection des données.
Le non-respect du RGPD peut entraîner des sanctions financières importantes pour les entreprises et organisations concernées, pouvant atteindre jusqu’à 4% de leur chiffre d’affaires mondial annuel ou 20 millions d’euros, selon le montant le plus élevé. Par exemple, en janvier 2019, Google avait été condamnée à une amende de 50 millions d’euros par la CNIL pour des violations présumées du RGPD en matière de transparence et de consentement. De la même manière, Amazon, en décembre 2020, avait fait l’objet d’une condamnation à une amende de 35 millions d’euros pour avoir enfreint les règles du RGPD en matière de cookies publicitaires et de conservation de données.
La suspension italienne de Chat GPT
Le 20 mars dernier, Chat GPT, Chatbot d’Open AI, a subi un Data Breach, c’est-à-dire, une divulgation de données à caractère personnel à un ou plusieurs tiers non autorisés. Cette perte de données s’étant précisément traduite par la divulgation de l’historique de conversation, ainsi que des informations de paiement de nombreux utilisateurs.
Face à cela, l’Autorité italienne de protection des données personnelles a ordonné “la limitation provisoire du traitement des données des utilisateurs italiens vis-à-vis d’OpenAI“.
L’autorité italienne demande à OpenAI de « communiquer d’ici vingt jours les mesures entreprises » pour remédier à cette violation du RGPD, « sous peine d’une sanction allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel ».
La CNIL italienne reproche également au Chatbot d’exposer « les mineurs à des réponses absolument non conformes par rapport à leur niveau de développement ». En effet, à ce titre, bien que Chat GPT soit destiné aux mineurs de plus de 13 ans, le Chatbot ne subordonne son entrée à aucun questionnaire relatif à l’âge de l’utilisateur.
Enfin, la suspension de Chat GPT en Italie est également justifiée par « l’absence d’une note d’information aux utilisateurs dont les données sont récoltées par OpenAI, mais surtout l’absence d’une base juridique justifiant le recueil et la conservation en masse des données personnelles, dans le but d’entraîner les algorithmes faisant fonctionner la plate-forme ».
Cette décision des autorités italiennes entre dans la continuité d’autres suspensions visant des plateformes du même type. Par exemple, le 3 février dernier, c’est Replika, une entreprise proposant un « ami virtuel » doté de l’intelligence artificielle, qui s’était vu interdire d’exercer sur le territoire italien, en raison de ses conséquences néfastes pour les mineurs et les personnes émotionnellement fragiles.
Ces différentes suspensions mettent donc en relief les risques engendrés par l’expansion de l’intelligence artificielle ces derniers mois sur les mineurs. A ce titre, l’UNICEF avait déjà publié en novembre 2021, un guide sur l’IA à l’intention des parents pour les prévenir des risques de cette technologie sur leurs enfants. De plus, de nombreux experts, tels que Kate Crawford, ne cessent d’avertir des dangers de l’IA sur les mineurs. Cette dernière affirmait également déjà en 2021, dans son livre “Atlas of AI: Power, Politics, and the Planetary Costs of Artificial Intelligence“, des risques d’une utilisation non réfléchie de l’IA dans les écoles, susceptible de perpétuer des biais et des inégalités déjà présents dans le système éducatif.
Quoi qu’il en soit, l’Agence italienne de protection des données semble pour l’instant s’affirmer comme la principale protagoniste, en matière de régulation des activités des entreprises développant l’intelligence artificielle.
Un effet boule de neige en perspective ?
Pour l’instant, la CNIL a affirmé dans un communiqué à l’AFP, qu’elle “n’a pas reçu de plainte et n’a pas de procédure similaire en cours“. Elle a néanmoins indiqué s’être rapprochée de l’Autorité italienne, dans le but, d’une part, “d‘échanger sur les constats qui ont pu être faits” mais également de “clarifier le cadre légal dans les prochains mois“.
A ce titre, il convient de s’attarder sur le fait que le Data Breach dont a fait l’objet Chat GPT, ainsi que les risques qu’il représente pour les mineurs, ne concernent évidemment pas que les utilisateurs italiens : les conséquences sont transfrontalières.
Or, depuis l’adoption du RGPD en 2018, la coopération transfrontalière entre les autorités de protection des données des États membres a été renforcée. Ainsi, dorénavant, l’autorité dite « chef de file » coopère avec les autres autorités de protection des données concernées, notamment pour l’adoption de sanctions. Cette coopération se traduit notamment par la potentielle réunion des autorités de protection des États membres au sein d’un Comité européen de la protection des données (CEPD), ayant pour mission de s’assurer de l’application uniforme du droit sur la protection des données.
Ainsi, en cas d’absence de mesures de régulations par Open AI, une condamnation commune par les autorités des différents États membres, dont la CNIL, n’est pas à exclure.
Enfin, bien que l’Union européenne prépare actuellement un projet de régulation de l’IA, susceptible d’être finalisé début 2024, celui-ci ne sera très certainement appliqué que plusieurs années après sa finalisation, laissant alors une importante fenêtre à l’expansion incontrôlée de l’IA. Il serait temps pour la CNIL, de prendre exemple sur son homologue italien, et de se saisir de la question brûlante de l’expansion de l’IA. Cela d’autant plus qu’elle affirme être chargée de « veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni à la vie privée ».