Prologue : Le rideau de la « saga ChatGPT » s’ouvre à nouveau
Le 29 janvier 2024, l’Autorité italienne de protection des données personnelles (ou le Garante per la protezione dei dati personali) a publié un communiqué qui se réfère à des violations présumées de la législation européenne en matière de protection des données personnelles (RGPD) par OpenAI, la société américaine responsable du développement et de la gestion du célèbre chatbot ChatGPT.
Cette notification ouvre un nouveau chapitre de cette « saga », entamée il y a près d’un an par l’Autorité italienne de protection des données.
Si les premières étapes de cette affaire, représentant un signe de possibles améliorations dans la protection effective du droit à la protection des données au-delà des frontières de l’UE, nous avaient tenus en haleine, il semblait peu probable qu’elles restent complètement sans suite. En voici les raisons et pourquoi l’adoption de cette nouvelle mesure est particulièrement importante – y compris d’un point de vue symbolique – alors que l’UE vient de finaliser le texte du premier règlement sur l’intelligence artificielle (IA).
Premier Acte : Le Garante en action
L’année dernière déjà, l’autorité administrative italienne chargée de surveiller et d’appliquer les lois sur la protection des données personnelles avait exercé ses pouvoirs contre OpenAI. Cela s’est fait en prenant des mesures urgentes pour empêcher l’accès au système d’IA générative ChatGPT aux utilisateurs présents en Italie. Les mesures du 30 mars 2023 étaient justifiées par de possibles violations des normes du RGPD.
Il s’agissait de principes fondamentaux régissant le traitement des données personnelles, comme l’absence de fondements juridiques adéquats sur la base desquels le traitement des données peut être considéré licite, les informations que l’utilisateur devrait recevoir concernant les modalités et les finalités du traitement des données, ou encore les principes « privacy by design and default ».
Selon le Garante, les sujets mineurs, en particulier, auraient été exposés à des réponses du chatbot potentiellement inadéquates par rapport à leur niveau de développement. Plus généralement, le RGPD considère les enfants comme des catégories de sujets particulièrement vulnérables et méritant une protection spécifique.
Une partie des violations signalées par le Garante se réfère à la phase de « formation » de cet outil, qui prévoit l’utilisation de pratiques de « web scraping », consistant en la collecte automatisée de données « librement accessibles » sur internet et répondant à des paramètres prédéterminés – dans ce cas, des contenus écrits. Mais d’autres controverses sont survenues à cause des « hallucinations » de ChatGPT, qui peut fournir des informations inexactes à ses utilisateurs. Dans au moins un cas, cela a conduit à une plainte en diffamation contre OpenAI.
De nombreuses questions relatives à la protection des données personnelles ou autres pourraient être traitées de manière plus exhaustive ; nous nous limitons ici à évoquer des effets et limitations des mesures précédemment imposées par le Garante.
Deuxième Acte : Quelles sont les limites à la protection effective de nos droits et quel est le rôle des entreprises privées ?
Alors que l’accès à ChatGPT était impossible en raison de ces mesures, les utilisateurs italiens ont eu recours à des stratagèmes – tels que des « réseaux privés virtuels » (VPN) – pour contourner les limitations. De plus, des services alternatifs comme « Pizza GPT » ont fait leur apparition sur le web. La société OpenAI semblait avoir bien réagi aux sollicitations du Garante en se montrant intéressée à ouvrir un dialogue constructif.
Ce n’est pas la première fois que des autorités de protection européennes se penchent sur les pratiques de « web scraping ». En février 2022, une autre société américaine connue sous le nom de Clearview AI avait attiré leur attention sur des comportements aussi graves, si ce n’est plus. En quelques années, Clearview AI a collecté plus de 20 milliards d’images représentant le visage de personnes trouvées sur internet afin de développer, par l’extraction de données biométriques, un prodigieux système de reconnaissance faciale destiné à être vendu, entre autres, aux forces de l’ordre américaines.
Nous nous limiterons à souligner un point de cette affaire : à la différence de Clearview, qui a essentiellement ignoré toutes les mesures adoptées par les autorités européennes de protection des données personnelles, OpenAI semblait avoir commencé à mettre en œuvre certaines des mesures que le Garante avait imposées par une ordonnance ultérieure du 11 avril 2023, révoquant les restrictions d’accès au service précédemment adoptées et permettant le rétablissement de ses pleines fonctionnalités.
Cependant, il semblerait que, tout en se montrant coopérative, non seulement avec le Garante, mais aussi avec des organismes de réglementation des systèmes d’IA, OpenAI ait simultanément exercé des activités de lobbying pour influencer l’adoption du texte du Règlement sur l’intelligence artificielle (AI Act), en menaçant même de se retirer du marché européen si des critères trop stricts étaient adoptés.
Ces événements montrent les limites juridictionnelles de la protection effective des données personnelles face aux violations provenant de pays tiers. Ceci entrave fortement l’action et le rôle des autorités de protection, dont le succès dépend largement de la volonté des entreprises basées dans des États tiers de se conformer à la réglementation européenne et aux décisions des autorités de contrôle. Si nous sommes déjà au cœur de l’ère de l’IA, nous devons nous préparer à faire face à une nouvelle vague de violations transfrontalières de nos droits fondamentaux, dont nous ne pouvons pour le moment qu’imaginer les formes.
Épilogue : Sur la bonne voie pour la protection effective de nos droits fondamentaux à l’ère de l’IA ? Nous pourrions faire plus, surtout au niveau individuel !
Les autorités européennes chargées de la protection des données font preuve d’ingéniosité et de dévouement dans leur mission. Depuis l’affaire ChatGPT, elles ont même créé au sein du European Data Protection Board un groupe de travail spécialisé. Néanmoins, des limites dans le respect et l’application effective des normes européennes pourraient réduire ces efforts, au détriment de nos droits fondamentaux, en plus de nuire à l’image de l’UE en tant que régulateur ayant des ambitions extraterritoriales sur la scène mondiale.
Et pourtant, nous, citoyens, utilisateurs, consommateurs, avons un pouvoir que nous sous-estimons trop souvent. Ceci nous est rappelé par le juriste italien Stefano Rodotà, dans son raisonnement concernant la « constitutionnalisation du web » : faire des choix de consommation critique générant des pertes de profits conséquents (y compris en termes de réduction dans les flux de données) contre les entreprises privées qui ne respectent pas nos droits pourrait constituer une forme d’ « application directe de sanctions ».
Ceci peut se révéler d’une certaine manière efficace dans l’attente de nouveaux développements découlant de ce nouveau chapitre de la « saga ChatGPT », ainsi que de l’entrée en vigueur future de mesures supplémentaires, y compris le premier règlement de l’UE sur l’IA.
Par Francesco Paolo Levantino, Doctorant en droit international des droits de l’Homme, Sant’Anna School of Advanced Studies – Pisa | Chercheur invité à VUB (LSTS) – Bruxelles, pour Carta Academica (https://www.cartaacademica.org/).
Les points de vue exprimés dans les chroniques de Carta Academica sont ceux de leur(s) auteur(s) et/ou autrice(s) ; ils n’engagent en rien les membres de Carta Academica, qui, entre eux d’ailleurs, ne pensent pas forcément la même chose. En parrainant la publication de ces chroniques, Carta Academica considère qu’elles contribuent à des débats sociétaux utiles. Des chroniques pourraient dès lors être publiées en réponse à d’autres. Carta Academica veille essentiellement à ce que les chroniques éditées reposent sur une démarche scientifique.