Après avoir interdit l’utilisation de ChatGPT pendant près d’un mois (voir Qant du 31 mars), la Cnil italienne, le GPDP, a fait machine arrière. Mais, comme OpenAI propose ses services dans tout le territoire européen sans être implantée dans l’un des pays de l’Union, toutes les autorités de protection des données du continent peuvent considérer qu’elles ont juridiction. Le questionnaire envoyé à OpenAI par Marit Hansen, la commissaire à la protection des données du land allemand du Schleswig-Holstein, circule ainsi depuis la semaine dernière. Quoique l’authenticité du document n’ait aucunement été confirmée, il récapitule avec cohérence l’ensemble des problèmes juridiques que pose ChatGPT à l’Europe.
La lettre rappelle certains des problèmes déjà soulevés par le GPDP italien fin mars. Par exemple, elle demande quel est l’âge minimum pour utiliser ChatGPT, comment OpenAI s’assure de l’âge de ses utilisateurs, ou encore comment l’entreprise obtient le consentement d’utilisateurs mineurs. Chacun sait qu’OpenAI aura du mal à répondre, tout comme sur le consentement des utilisateurs à l’utilisation de leurs données ou l’accès à l’information sur le traitement des données soumises au modèle.
Plus généralement, les questions portent sur le traitement des données et sa légalité, le tracking et le profiling des utilisateurs, l’information des utilisateurs, la suppression des données, leur sécurité by default et by design, l’anonymisation des données d’entraînement et le transfert des données en dehors de l’Union européenne. Cerise sur le gâteau : dans quel but OpenAI demande-t-il aux utilisateurs de ChatGPT leur numéro de téléphone ?
Le GPDP italien s’est déclaré satisfait des réponses d’OpenAI avant d’autoriser de nouveau le service dans la Péninsule. Il semble pourtant douteux, à la lecture du questionnaire allemand, que ChatGPT soit entièrement compatible avec le RGPD. Le service d’OpenAI a clairement été conçu avec la seule règlementation américaine en tête. Il en va sans doute de même pour l’entraînement de ses modèles.
Un sujet de plus de conversation entre Thierry Breton et Sam Altman, lors du prochain voyage du commissaire européen à San Francisco, après leurs divergences publiques sur la manière dont le projet de règlement AI Act prévoit de traiter les données d’entraînement (lire Qant du 1er juin). Il sera sans doute possible de négocier l’utilisation par OpenAI des données que lui confient, par leurs prompts, les utilisateurs européens et d’obtenir un plus grand respect du droit d’auteur dans ses réponses (ChatGPT a déjà fait de grands progrès en la matière). Peut-être pourra-t-on même obtenir de Microsoft qu’il transporte les calculs vers des data centers européens. Mais il semble bien difficile de ré-entraîner GPT-4 à partir d’un nouveau dataset. L’Europe devra mettre de l’eau dans son vin.
J.R.
Pour en savoir plus : Uri Gal, *ChatGPT is a data privacy nightmare, *The Conversation
Source archive Kessel : https://qant.kessel.media/posts/pst_a04ee6e0196c46f48b29b887d09d8ba8