L'autorité espagnole de protection des données, l'AEPD, a suivi l'exemple italien et a annoncé une enquête préliminaire sur le fabricant de ChatGPT, OpenAI, pour violation présumée du règlement général sur la protection des données (RGPD) de l'Union européenne.

À la fin du mois dernier, la DPA italienne a ordonné à OpenAI de cesser de traiter les données des utilisateurs locaux – en raison d'une série de violations présumées du RGPD – ce qui a rapidement conduit OpenAI à géobloquer le service en Italie.

Au moment de la rédaction de cet article, ChatGPT reste accessible via une adresse IP espagnole. Mais le régulateur ne semble pas avoir ordonné la suspension du traitement.

Dans un communiqué de presse sur son action (que nous avons traduit de l'espagnol), il écrit : « L'Agence espagnole de protection des données (AEPD) a lancé ex officio procédure d’enquête préliminaire contre la société américaine OpenAI, propriétaire du service ChatGPT, pour éventuel non-respect de la réglementation.

Le communiqué ne fournit aucun détail sur les préoccupations spécifiques de l'AEPD, mais nous avons posé des questions.

La DPA italienne a soulevé une série de préoccupations liées au RGPD concernant ChatGPT, notamment la licéité du traitement d'OpenAI, les problèmes de transparence, ainsi que les exigences en matière de protection de l'enfance et d'accès aux données.

Plus tôt cette semaine, il a publié une liste de mesures qu'OpenAI doit mettre en œuvre s'il souhaite que l'ordonnance de suspension locale soit levée, lui donnant jusqu'à la fin du mois pour apporter la plupart des changements.

OpenAI n'a pas commenté publiquement les changements demandés par l'agence italienne.

Une porte-parole d'OpenAI a refusé de commenter l'enquête espagnole pour l'instant.

Le communiqué de presse de l'AEPD confirme qu'elle a précédemment demandé au Comité européen de la protection des données (EDPB), un organe directeur pour l'application du RGPD, d'inclure ChatGPT dans une discussion plénière cette semaine.

Elle affirme avoir posé cette question en considérant que « les opérations de traitement mondiales d'OpenAI peuvent avoir un impact significatif sur les droits des individus » – ce qui, selon elle, pourrait également nécessiter « des actions harmonisées et coordonnées au niveau européen ».

« Le Comité a décidé lors de la séance plénière d'aujourd'hui de lancer un groupe de travail pour promouvoir la coopération et échanger des informations sur les actions menées par les autorités de protection des données », ajoute l'AEPD.

Le groupe de travail de l'EDPB sur ChatGPT agira parallèlement aux enquêtes individuelles des autorités. Mais cela pourrait, à terme, aider à coordonner l’application du RGPD sur la technologie de l’IA générative dans l’ensemble du bloc. Toutefois, à court terme, les APD pionnières comme l’Italie et l’Espagne pourraient conclure leurs enquêtes et prendre des mesures coercitives avant que le Conseil ne soit en mesure de proposer des recommandations d’harmonisation.

Une différence d'approche est déjà visible : la DPA italienne a émis une ordonnance de suspension, tandis que l'AEPD espagnole a seulement annoncé qu'elle examinait à ce stade ChatGPT. Cela pourrait toutefois suggérer que l'enquête espagnole est moins avancée que celle de l'Italie.

Dans d’autres remarques publiques, l’AEPD a déclaré qu’elle « plaide pour le développement et la mise en œuvre de technologies innovantes, telles que l’intelligence artificielle ». Mais il a souligné qu'un tel développement doit être pleinement conforme au cadre de protection des données de l'UE et aux droits et libertés que le RGPD accorde aux individus.

Pour en savoir plus sur la façon dont les réglementations telles que le RGPD sont appliquées à l’IA générative, consultez notre analyse approfondie.