ChatGPT menacé par les Cnil, faut-il arrêter de l'utiliser... et de le proposer ?
L'autorité française de protection des données personnelles a déjà reçu deux plaintes sur le sujet. Et il n'y a pas de raison qu'elle n'aboutisse pas aux mêmes conclusions que son homologue italienne, qui a interdit ChatGPT.
Quelles conséquences la suspension de l'utilisation de ChatGPT depuis le 31 mars en Italie peut-elle avoir pour les entreprises se servant de cet outil en Europe, et plus particulièrement en France ? La question mérite d'être posée, puisque toute une constellation de grandes, moyennes et petites entreprises, et même des gouvernements et organismes publiques, à l'instar de Morgan Stanley, Stripe, Duolingo, Merci Facteur et l'Islande, ont déjà commencé à proposer des services embarquant cette intelligence artificielle.
Dans l'immédiat, aucune conséquence concrète n'est à prévoir en France, explique la Cnil au JDN : "Dans la mesure où OpenAI ne dispose pas d'un établissement en Union européenne, le système du guichet unique ne lui est pas applicable et chaque autorité nationale de protection des données est compétente." Lundi 3 avril, l'autorité française nous indiquait qu'elle n'avait reçu aucune plainte ou procédure du même type au sujet de l'IA et des IA génératives en particulier. Une situation qui a changé, comme révélé par le média L'informé et que le JDN a pu confirmer auprès de la Cnil : deux plaintes ont été déposées ce 4 avril. La première par l'association Janus International, la seconde par David Libeau, un développeur membre de l'association Exodus Privacy & Open Knowledge France
"Le guichet unique n'est pas applicable à OpenAI, chaque autorité nationale de protection des données est compétente"
Dans le court et moyen terme en revanche, le risque qu'une décision similaire de suspension de l'outil soit prise en France est tout à fait réel voire probable, commente Alexandra Iteanu, avocate responsable du pôle RGPD et data au sein du cabinet Iteanu Avocats : "La Cnil n'attend pas d'être saisie, elle peut faire des contrôles aléatoires. L'autorité peut tout à fait aboutir à la même conclusion et suspendre ChatGPT en France. L'autorité italienne s'est basée sur un texte européen, le RGPD, pour rendre sa décision. L'article 58 du RGPD indique clairement que l'autorité de contrôle peut imposer de manière définitive ou provisoire l'interdiction d'un traitement."
Interrogée par le JDN, la Cnil indique pour l'instant seulement qu'elle s'est rapprochée de son homologue italienne afin d'échanger sur les constats qui ont pu être dressés et que son objectif est de clarifier le cadre légal concernant les bases d'apprentissage et les IA génératives.
Risques de coresponsabilité
Une telle décision impacterait-elle directement les entreprises se servant de ChatGPT pour proposer des services basés sur l'IA à leurs clients ? Oui : outre le fait de se voir privées du service, les entreprises proposant le module d'IA à leurs clients s'exposeraient dans ce cas à de sérieux risques de coresponsabilité d'un traitement illégal de données. "Quand l'entreprise intègre un module tiers, ici ChatGPT, elle reste soumise aux aléas juridiques et techniques de ce dernier", explique Alexandra Iteanu. Or, OpenAI stocke les données de ses clients sur des serveurs aux Etats-Unis, pays avec lequel les Etats membres de l'UE ne disposent toujours pas d'accord encadrant le transfert de données, ce qui pose un réel problème de sécurité. "Cela est déjà un risque en soi étant donné qu'il s'agit d'une entreprise américaine : depuis l'invalidation du Privacy Shield, tout transfert de données est susceptible d'être illicite, car la législation américaine ne correspond pas aux standards européens de protection de la vie privée. L'autre problème concerne le référentiel juridique : le tribunal compétent concernant les conditions générales d'utilisation de ChatGPT se trouve en Californie. En cas de litige, c'est beaucoup plus compliqué de faire valoir ses droits", précise la spécialiste.
"Quand l'entreprise intègre un module tiers, ici ChatGPT, elle reste soumise aux aléas juridiques et techniques de ce dernier"
A noter que toutes les données des utilisateurs ne sont pas nécessairement transmises à ChatGPT quand l'entreprise s'en servant s'interface à l'outil via une API. Chez Merci Facteur, un mur technique empêche l'IA d'accéder aux données des comptes utilisateurs (prénom, nom, mail, adresses d'expédition et des destinataires etc.). Cette solution de rédaction, impression et expédition de courrier postal servant des entreprises et des particuliers propose depuis janvier un robot de rédaction assisté alimenté par ChatGPT-4 directement accessible via son site. "Nos clients ne se connectent pas à ChatGPT, aucune donnée personnelle n'est transmise à ce dernier. Pour que le service fonctionne, tout se passe via notre propre compte développeur", précise Robin Bourdet, fondateur de la PME française. "Certes mais même dans ces cas il est hautement recommandé à l'entreprise qu'elle s'assure avec des pare-feu du fait que techniquement OpenAI ne peut disposer d'aucun accès à ses données, un engagement contractuel ne suffirait pas. L'entreprise a également l'obligation d'informer ses utilisateurs qu'elle est partenaire de ChatGPT", précise Alexandra Iteanu. Attention, les éventuelles données personnelles contenues au sein des courriers (par exemple un courrier à une administration mentionnant son adresse ou un numéro de sécurité sociale) sont, elles, bien lues par ChatGPT. Ce dernier indique dans ses conditions générales de vente ne pas collecter ni traiter des données à des fins d'entraînement issues des requêtes faites via des tiers interfacés en API avec l'IA.
OpenAI dispose de 20 jours à compter du 31 mars pour notifier l'autorité italienne des mesures mises en œuvre pour se conformer à l'ordonnance, faute de quoi une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pourra lui être infligée.