L'organisme italien de surveillance de la protection des données a expliqué ce qu'OpenAI doit faire pour lever une ordonnance contre ChatGPT émise à la fin du mois dernier – lorsqu'il a déclaré qu'il soupçonnait le service de chatbot AI d'enfreindre le règlement général sur la protection des données (RGPD) de l'UE. et a ordonné à la société basée aux États-Unis de cesser de traiter les données des habitants.
Le RGPD de l'UE s'applique à chaque fois que des données personnelles sont traitées, et il ne fait aucun doute que de grands modèles de langage tels que le GPT d'OpenAI ont récupéré de grandes quantités de données sur l'Internet public afin d'entraîner leurs modèles d'IA génératifs pour qu'ils soient capables de répondre de manière humaine. comme un moyen d'accéder aux invites en langage naturel.
OpenAI a répondu à l'ordre de l'autorité italienne de protection des données en bloquant rapidement l'accès à ChatGPT. Dans une brève déclaration publique, le PDG d'OpenAI, Sam Altman, a également tweeté confirmation qu'il avait cessé d'offrir le service en Italie – ce faisant parallèlement à la mise en garde habituelle des Big Tech selon laquelle il « pense[s] nous respectons toutes les lois sur la confidentialité.
L'Italien Garante adopte évidemment un point de vue différent.
La version courte de la nouvelle exigence de conformité du régulateur est la suivante : OpenAI devra faire preuve de transparence et publier une notice d'information détaillant son traitement de données ; il doit immédiatement adopter un contrôle de l'âge pour empêcher les mineurs d'accéder à la technologie et passer à des mesures de vérification de l'âge plus strictes ; il doit clarifier la base juridique qu'il revendique pour le traitement des données des personnes afin de former son IA (et ne peut pas compter sur l'exécution d'un contrat – ce qui signifie qu'il doit choisir entre le consentement ou les intérêts légitimes) ; il doit également fournir aux utilisateurs (et aux non-utilisateurs) des moyens d'exercer leurs droits sur leurs données personnelles, notamment en demandant des corrections de la désinformation générée à leur sujet par ChatGPT (ou bien en faisant supprimer leurs données) ; il doit également offrir aux utilisateurs la possibilité de s'opposer au traitement de leurs données par OpenAI pour l'entraînement de ses algorithmes ; et il doit mener une campagne de sensibilisation locale pour informer les Italiens qu’il traite leurs informations pour former ses IA.
La DPA a donné à OpenAI une date limite – le 30 avril – pour réaliser l’essentiel de ce travail. (La campagne de sensibilisation locale à la radio, à la télévision et sur Internet a un calendrier légèrement plus généreux, le 15 mai, pour être mise en œuvre.)
Il reste également un peu plus de temps pour que l'exigence supplémentaire de migrer de la technologie de Sécurité des enfants de contrôle de l'âge immédiatement requise (mais faible) vers un système de vérification de l'âge plus difficile à contourner. OpenAI a eu jusqu'au 31 mai pour soumettre un plan de mise en œuvre d'une technologie de vérification de l'âge afin de filtrer les utilisateurs de moins de 13 ans (et les utilisateurs âgés de 13 à 18 ans n'ayant pas obtenu le consentement parental) – la date limite pour mettre en place ce système plus robuste étant fixée. au 30 septembre.
Dans un communiqué de presse détaillant ce qu'OpenAI doit faire pour pouvoir lever la suspension temporaire de ChatGPT, ordonnée il y a deux semaines lorsque le régulateur a annoncé qu'il ouvrait une enquête formelle sur des violations présumées du RGPD, il écrit :
OpenAI devra se conformer d'ici le 30 avril aux mesures fixées par la SA italienne [supervisory authority] concernant la transparence, le droit des personnes concernées — y compris les utilisateurs et les non-utilisateurs — et la base juridique du traitement pour la formation algorithmique reposant sur les données des utilisateurs. Ce n'est que dans ce cas que la SA italienne lèvera l'ordonnance qui limitait temporairement le traitement des données des utilisateurs italiens, l'urgence qui sous-tend l'ordonnance n'étant plus présente, de sorte que ChatGPT soit à nouveau disponible depuis l'Italie.
En approfondissant chacune des « mesures concrètes » requises, la DPA stipule que la notice d'information obligatoire doit décrire « les modalités et la logique du traitement des données nécessaires au fonctionnement de ChatGPT ainsi que les droits accordés aux personnes concernées (utilisateurs et non-utilisateurs) », ajoutant qu’il « devra être facilement accessible et placé de manière à pouvoir être lu avant l’inscription au service ».
Les utilisateurs italiens doivent recevoir cet avis avant de s'inscrire et également confirmer qu'ils ont plus de 18 ans, cela exige en outre. En revanche, les utilisateurs qui se sont inscrits avant l'ordre d'arrêt du traitement des données de la DPA devront se voir présenter l'avis lorsqu'ils accéderont au service réactivé et devront également être poussés à franchir une barrière d'âge pour filtrer les utilisateurs mineurs.
Concernant la question de la base juridique liée au traitement des données personnelles par OpenAI pour entraîner ses algorithmes, le Garante a réduit les options disponibles à deux : le consentement ou les intérêts légitimes, stipulant qu'il doit immédiatement supprimer toute référence à l'exécution d'un contrat « conformément à le [GDPR’s] principe de responsabilité. (Politique de confidentialité d'OpenAI cite actuellement les trois motifs, mais semble s'appuyer davantage sur l'exécution d'un contrat pour la fourniture de services tels que ChatGPT.)
« Cela sera sans préjudice de l'exercice des pouvoirs d'enquête et d'exécution de la SA à cet égard », ajoute-t-il, confirmant qu'il s'abstient de statuer sur la question de savoir si les deux motifs restants peuvent également être utilisés légalement aux fins d'OpenAI.
De plus, le RGPD offre aux personnes concernées une série de droits d'accès, y compris un droit de rectification ou de suppression de leurs données personnelles. C’est pourquoi le régulateur italien a également exigé qu’OpenAI mette en œuvre des outils permettant aux personnes concernées – c’est-à-dire les utilisateurs et les non-utilisateurs – d’exercer leurs droits et de faire rectifier les faussetés générées par le chatbot à leur sujet. Ou, si la correction des mensonges générés par l’IA sur des personnes nommées s’avère « techniquement irréalisable », la DPA stipule que l’entreprise doit fournir un moyen pour que leurs données personnelles soient supprimées.
« OpenAI devra mettre à disposition des outils facilement accessibles pour permettre aux non-utilisateurs d'exercer leur droit d'opposition au traitement de leurs données personnelles sur lequel s'appuie le fonctionnement des algorithmes. Le même droit devra être accordé aux utilisateurs si l’intérêt légitime est choisi comme base juridique pour le traitement de leurs données », ajoute-t-il, faisant référence à un autre des droits que le RGPD accorde aux personnes concernées lorsque l’intérêt légitime est invoqué comme base juridique du traitement. données personnelles.
Toutes les mesures annoncées par le Garante sont des contingences, basées sur ses préoccupations préliminaires. Et son communiqué note que ses enquêtes formelles — « pour établir d'éventuelles violations de la législation » — se poursuivent et pourraient l'amener à décider de prendre « des mesures supplémentaires ou différentes si cela s'avère nécessaire à l'issue de l'exercice d'enquête en cours ». »
Nous avons contacté OpenAI pour obtenir une réponse, mais la société n'avait pas répondu à notre e-mail au moment de la publication.