Rechercher
Fermer ce champ de recherche.

Chat GPT VS RGPD

Le prototype d’agent conversationnel basé sur l’intelligence artificielle ChatGPT est l’un des outils les plus performants en la matière. Lancé en novembre 2022 par la société OpenIA, il permet de répondre quasi instantanément à toute sorte de demande écrite de ses utilisateurs en leur fournissant des réponses textuelles personnalisées. L’outil est basé sur un modèle de langage dont l’apprentissage a été rendu possible grâce au deep learning

Bien qu’il possède une version payante, sa version de base est gratuite, et comme la grande majorité des outils présentés comme gratuits, le fonctionnement du système repose en quasi-totalité sur les données qu’il contient ou qu’il sera amené à contenir.

Face à un tel instrument d’intelligence artificielle générative, la question qui se pose est celle de savoir si l’utilisation de ChatGPT sur le territoire de l’Union Européenne est compatible avec la règlementation en vigueur en ce qui concerne les données personnelles. La protection de ces dernières est assurée, au niveau communautaire, par le Règlement Général sur la Protection des Données entré en application le 25 mai 2018.

Au regard de l’immensité des données collectées et traitées par ChatGPT, l’outil peut-il être considéré comme conforme au RGPD  ?

Quelles données sont traitées par Open IA ?

A – La base de données de ChatGPT

Si, au moment du lancement du chatbot en novembre 2022, celui-ci était déjà doté d’une efficacité surprenante avant même de pouvoir recueillir les données de ses utilisateurs, c’est qu’une gigantesque base de données servait déjà le robot en amont, réalisée grâce à la technique du moissonnage de données (scraping).

Ainsi, nous pouvons lire sur le site d’OpenIA que parmi les informations recueillies dans le but d’entrainer le système, figurent d’abord celles disponibles en accès libre sur internet. Il y est cependant précisé que certaines données sont exclues du champ (contenus pornographiques, discours haineux etc.). Mais alors, ces données récoltées proviennent elles-mêmes bien évidemment d’une source d’origine. Ainsi, dans la mesure où ces dernières peuvent potentiellement être considérées comme des données personnelles au sens du RGDP (ex : noms, photos, profils culturels ou sociaux, articles, posts, articles etc.), se pose la question de savoir si l’utilisateur aurait consenti en amont au traitement de celles-ci comme il le devrait, pour des finalités telles que l’apprentissage par l’intelligence artificielle pour le cas de ChatGPT.  

ChatGPT

Ces interrogations quant au respect du consentement de l’utilisateur au traitement de ses données se heurtent cependant à un obstacle pratique. Comment connaitre l’étendue, les formes et les contenus des informations collectées en base par OpenIA ?

Plusieurs plaintes ont été déposées à l’encontre d’OpenIA, accusé d’avoir « volé » d’énormes quantités de données liées aux applications telles que Spotify (préférences musicales), Snapchat (données liées à la localisation), Microsoft Teams (conversations privées) etc.

Ainsi, le moissonnage de données par des sociétés telles qu’OpenIA paraît en pratique assez difficilement conciliable avec le respect du Règlement Européen sur le traitement des données à caractère personnel. Il faudrait, pour ce faire, que l’utilisateur consente de manière éclairée, pour tous les contenus qu’il partage sur internet, à leur collecte et leur traitement dans le but de nourrir un système d’intelligence artificielle génératif. Pour ce faire, l’information préalable de l’utilisateur est indispensable, à défaut, il ne peut exercer un quelconque droit d’opposition comme le prévoit le RGPD. Cependant, même s’il en était informé et qu’il entendait exercer son droit d’opposition, comment vérifier en pratique que ses données ne sont plus utilisées, à partir du moment où elles ont déjà été recueillies ?

De surcroit, des questions relevant du respect du droit d’auteur des potentielles œuvres de l’esprit nourrissant la base peuvent également être soulevées quant à ce moissonnage de données en accès libre.

B – Les données des utilisateurs

Les données récoltées par OpenIA ne se limitent bien évidemment pas à toutes celles qui alimentent le logiciel en base, mais s’accompagnent de celles que l’utilisateur va, consciemment ou non, se voir collectées par le système.

En ce sens, parmi les données recueillies, figurent : les informations du compte (nom, numéro de carte de paiement, historique des transactions…), les contenus de l’utilisateur, les informations de communication (les messages envoyés par l’utilisateur au système), les données de connexion (adresse IP, type et paramètre du navigateur, la façon d’interagir avec le robot), les données d’utilisation (type d’ordinateur/smartphone utilisé, connexion de l’ordinateur, la ville de l’utilisateur…), les informations de l’ordinateur utilisé (système d’opération, navigateur, nom de l’appareil…), les cookies

Bien que parmi l’ensemble de ces catégories de données, tous ne relèvent pas forcément du domaine des données personnelles, il n’en reste pas moins que certaines entrent bel et bien dans leur champ, dans le sens où elles peuvent permettre l’identification directe ou indirecte d’une personne physique usager du chatbot.

La licéité du traitement de ces données peut être questionnée dans la mesure où à aucun moment l’utilisateur n’y a clairement consenti, il doit seulement accepter les conditions d’utilisations, qui ne font pas référence à ces données à caractère personnel. L’ensemble des informations liées à ces dernières et leur utilisation, sont inscrites dans la rubrique de « Politique de Confidentialité » d’OpenIA, en anglais uniquement. La transparence des informations relatives à ces données peut donc être discutée dans la mesure où elles peuvent ne pas être comprises par tous les utilisateurs européens de manière claire.

Quid des mineurs ?

La question du traitement des données se posent également pour les mineurs. En effet, là où la Loi n°78-17 du 6 janvier 1978 dite « Loi informatique et Libertés » fixe à quinze ans l’âge à partir duquel un mineur peut consentir seul à un traitement de donnée à caractère personnel, en ce qui concerne l’offre directe de service de la société de l’information (en application du RGPD), OpenIA indique ne pas proposer ses services aux mineurs de moins de 13 ans. Il est précisé qu’au-dessus de cet âge, le consentement des représentants légaux serait nécessaire. Lors du blocage de l’application en Italie par la Garante, il était notamment reproché à ChatGPT de ne pas avoir mis en place de filtre pour vérifier l’âge des utilisateurs.

C - Les données des tiers

Enfin, lors de l’utilisation du système par les utilisateurs, des prompts sont fournis au robot afin qu’il les analyse et puisse donner une réponse adéquate. Ces prompts peuvent contenir des données personnelles, mais également des données dites « sensibles », pour lesquelles le traitement est interdit sauf exceptions. Il s’agit des données qui révèlent par exemple l’origine raciale, les opinions politiques, convictions religieuses, etc, d’une personne physique.

Mais quid lorsqu’un utilisateur entendrait intégrer dans ses prompts des données sensibles le concernant, ou pire encore, des données sensibles concernant des tiers qui ne seraient même pas utilisateur du chatbot ? Ces derniers, non-utilisateurs du système, n’ont jamais consenti à un tel potentiel traitement et pourraient subir une atteinte à leur vie privée et au respect des conditions de traitement de leurs données.

Pour quels usages sont destinés les données traitées ?

A - L’usage interne d’Open IA

L’un des principaux usages pour lesquels les données sont collectées et traitées restent l’amélioration et l’entrainement de l’agent conversationnel. Ainsi, plus les utilisateurs se servent du robot, plus il s’améliore, et plus il s’améliore, plus les utilisateurs s’en servent aux dépens de leurs données.

Mais d’autres finalités d’utilisations sont mises en avant par OpenIA. Ainsi, il est inscrit dans leur Politique de Confidentialité que ces informations personnelles peuvent être utilisées dans le but de : fournir/administrer/maintenir/analyser les services, communiquer avec l’utilisateur, développer de nouveaux programmes, prévenir la fraude/activité criminelle/mauvaise utilisation du service/protéger la sécurité du système, réaliser des transferts d’activités, se soumettre aux obligations légales

B - La divulgation des données à des tiers

Sans grande surprise, les données personnelles récoltées par OpenIA ne demeurent pas uniquement au sein de leur structure, et il est inscrit dans la Politique de confidentialité de la société que ces dernières peuvent faire l’objet de divulgation à des tiers.

Les tiers concernés sont : les vendeurs et prestataires de services d’OpenIA, les cocontractants en cas de transaction/réorganisation/banqueroute, les autorités gouvernementales, les pairs de l’industrie, les affiliés (une entité qui contrôle ou est contrôlée par OpenIA). Il est précisé que ces affiliés utiliseraient ces données dans un sens conforme à la Politique de Confidentialité (soit pour tous les usages et dans les mêmes conditions que celles et ceux susvisés).

Enfin, est prévu le potentiel transfert de ces données en dehors de l’UE/Suisse/Grande-Bretagne, là où la législation sur la protection de données semble plus laxiste que celle offerte par le Règlement Européen.

OpenIA précise que ces informations personnelles seront conservées aussi longtemps qu’ils en auront besoin pour fournir leur service, ou pour d’autre but légitime, en d’autres termes, de manière indéfinie, puisque tant que le robot existera, ces données seront nécessaires.

Récemment, un rapport de plusieurs scientifiques, dont certains font notamment partie de la filiale de Google DeepMind (spécialisée dans l’IA), fait état d’une faille dans le système de ChatGPT, poussant l’outil à communiquer des données qualifiables de « personnelles » aux utilisateurs à l’aide de prompt, comme des adresses mails, numéros de téléphone etc.

Conclusion :

Au regard des modalités selon lesquelles OpenIA récolte des données pouvant être qualifiées de données personnelles, les conditions de leur traitement paraissent difficilement compatibles avec un irréprochable respect du Règlement Européen en la matière. D’abord au niveau de l’information de l’utilisateur quant à ces traitements, ensuite à celui du recueil de son consentement, enfin sur la question de l’exercice de ses droits sur ces traitements.

La politique de confidentialité d’OpenIA détaille cependant les droits qu’ont les utilisateurs sur le traitement de leurs données : droit d’accès, droit d’opposition, retrait du consentement, rectification etc. La pratique revêt cependant une tout autre forme, car une fois la donnée récoltée, il apparait illusoire de la supprimer du système d’IA, en tout cas, il serait difficile de pouvoir le vérifier.

OpenIA propose depuis peu la génération d’images par le biais de son intelligence artificielle, grâce au même système de prompt (DALL-E). De nombreuses questions sur le respect du droit d’auteur sont soulevées par les experts du domaine (et pour l’Input, et pour l’Output). Un comité de l’intelligence artificielle générative a été nommé par la première ministre, afin qu’il puisse présenter des propositions « concrètes » dans le but d’adapter la stratégie nationale en la matière.

Il est important de préciser que le sujet traité dans cet article se base sur les politiques légales et fonctionnelles d’OpenIA à un moment précis. En ce sens, les conditions d’utilisations et l’ensemble de la politique de confidentialité de la société peuvent être amenées à évoluer dans les prochaines semaines et les prochains mois. La CNIL s’est saisie du sujet d’IA et a mis en place un plan d’action en ce qui concerne les IA génératives et le respect de la vie privée des individus.

Nous avons demandé à l’outil ce qu’il pensait de sa conformité avec le RGPD à travers le prompt suivant : “chatgpt est-il conforme au règlement européen sur la protection des données ?”, Voici sa réponse : 

En tant que modèle de langage développé par OpenAI, je n’ai pas de fonctionnalités intégrées pour stocker des données personnelles des utilisateurs. Mon fonctionnement est conçu de manière à respecter la confidentialité des informations. Les données que vous saisissez dans cette conversation ne sont pas stockées et sont traitées de manière anonyme.

Cependant, il est important de noter que la conformité au règlement européen sur la protection des données (RGPD) dépend également de la manière dont les utilisateurs mettent en œuvre et utilisent les services basés sur GPT-3.5, comme ChatGPT. Les développeurs et les entreprises qui intègrent ce modèle dans leurs applications doivent prendre des mesures appropriées pour assurer la conformité au RGPD et à d’autres réglementations en matière de protection des données.

Si vous avez des préoccupations spécifiques concernant la conformité au RGPD, je vous recommande de consulter les documents officiels d’OpenAI, de contacter OpenAI directement ou de consulter un professionnel du droit de la vie privée pour obtenir des conseils spécifiques à votre situation.

Théophile TARABAY

Juriste

Nos dernières actus

Contrat de professionnalisation
Un Décret du 27 avril 2024 supprime, pour les contrats...
Lire la suite
Protection sociale complémentaire
Dans une mise à jour du 19 avril 2024, le bulletin...
Lire la suite
Faute grave
La Cour de cassation rappelle que la mise à pied à...
Lire la suite

Ce livre a pour but d’offrir un spectre complet des notions essentielles à savoir en tant qu’élu CSE.
Les réunions, la responsabilité des élus et de l’employeur, la protection des salariés, la détection et la gestion des harcèlements et des discriminations… Retrouvez une multitude de sujets dans le livre gratuit de Solucia Service et Protection Juridiques !

index égalité
hommes/Femmes

chez Solucia SPJ

94 / 100 : c’est la note obtenue par l’UES pour l’index égalité professionnelle femmes – hommes pour 2023

Indicateur d’écart de rémunération entre les femmes et les hommes : 35/40

Indicateur d’écart de taux d’augmentations entre les femmes et les hommes : 35/35

Indicateur de pourcentage de salariées augmentées dans l’année suivant leur retour de congé maternité : N/A

Indicateur du nombre de salariés du sexe sous-représenté parmi les 10 plus hautes rémunérations : 10/10

Poignée homme femme

Thibault saint olive

Directeur Administratif et Financier

Thibault Saint Olive est diplômé de l’Institut Supérieur de Gestion (ISG). Il débute sa carrière en tant que Contrôleur de gestion à la Banque Populaire, avant d’intégrer Mazars en 2010 au poste de Manager Audit financier, spécialisé dans le secteur des Assurances. Il devient 6 ans plus tard Directeur Admnistratif et Financier de Linxea, avant de rejoindre Wakam (ex-La Parisienne) en tant que Head of Finance. Il est depuis janvier 2022, le Directeur Administratif et Financier de Solucia Protection Juridique. Thibault a la charge du contrôle de la rentabilité et de la solvabilité de l’entreprise, du pilotage des flux financiers et de la gestion des fonds.

anne davillé

Directrice Marketing & Experience Client

Anne Davillé a obtenu un Master de commerce à Audencia. Elle débute sa carrière chez Carat en tant que responsable clients, puis intègre Havas Media en 2005 en tant que Directrice de clientèle. Elle rejoint Generali en 2008 où elle occupe différents postes, notamment celui de Manager marketing digital, chef de projet relation client ou Head of Client relationship management chez Global Corporate & Commercial. Elle est depuis octobre 2021 Directrice Marketing & Expérience client chez Solucia Protection Juridique. Elle est à ce titre, responsable du développement des leviers digitaux et des offres au service des clients et des partenaires, ainsi que de la plateforme de la marque.

emmanuelle thiesson

Directrice de Développement

Emmanuelle Thiesson a obtenu un diplôme en Economie rurale à l’Université de Montpellier. Elle débute sa carrière d’assureur chez Assurinco en tant que Responsable Grands Comptes, puis intègre Mapfre, en tant que Directrice commerciale du pôle Travel, puis Directrice du support client. C’est en 2018 qu’elle devient Innovative partnerships affinity insurance chez Wakam (ex-La Parisienne). Elle a rejoint en février 2022 Solucia Protection Juridique au poste de Directrice du Développement et est, à ce titre, responsable de la stratégie de croissance.

thomas gontard

Directeur Indemnisations et Services

Thomas Gontard a obtenu un DEA en droit fiscal à l’Université de Panthéon- Sorbonne. Il débute sa carrière chez Synerfil en tant que Directeur des centres d’appel, avant de rejoindre Apria, puis Assor France en tant que Responsable des services client. Il rejoint Solucia Protection Juridique en 2015 en tant que Responsable du service Renseignement Juridique. Il est depuis 2019 Directeur de l’Indemnisation et des Services. Il pilote la qualité des prestations délivrées par l’équipe des juristes.

Cécile Tardieu

Directrice Générale

Cécile Tardieu est diplômée de l’Ecole des Mines de Nancy et de l’ENSAE (1996). Elle débute chez Axa où elle exerce les fonctions d’actuaire à l’international puis de souscriptrice grands comptes affinitaires. En 2002, elle intègre le groupe Generali au sein duquel elle occupe diverses fonctions notamment celle de responsable du marketing produits, responsable du développement des offres affinitaires et de Directrice marketing et relation client au sein de l’entité Global Corporate & Commercial. Elle intègre Wakam (ex-La Parisienne) en 2016, en tant que Directrice des Partenariats, avant de rejoindre Solucia Protection Juridique en février 2020 au poste de Directrice de la Transformation, de l’Audit interne et des nouveaux marchés. Elle est depuis juillet 2021 Directrice Générale de l’assureur.

LAURENT SENGIER

Président du directoire

Laurent Sengier, a obtenu un diplôme d’expert en Management Financier à l’ESG. Il débute sa carrière en tant que Directeur Administratif et Financier au Groupe ICIRS (Retraite, Prévoyance, Santé), avant de rejoindre La Tutélaire en 2010. Il devient Directeur Financier Opérationnel de Chorum en 2013, et rejoint Solucia Protection Juridique, en tant que Directeur Administratif et Financier en 2018. Il prendra la Direction Générale de l’assureur en 2020, puis sa Présidence en juillet 2021.