Vendredi, le Garante a annoncé avoir ouvert une enquête sur ChatGPT pour violation présumée du Règlement général sur la protection des données (RGPD) de l’Union européenne – se disant préoccupé par le traitement illégal des données des Italiens par OpenAI.

OpenAI ne semble pas avoir informé quiconque dont il a trouvé et utilisé les données en ligne pour former la technologie, par exemple en récupérant des informations sur des forums Internet. Il n’a pas non plus été entièrement ouvert sur les données qu’il traite – certainement pas pour la dernière itération de son modèle, GPT-4. Et même si les données de formation utilisées étaient peut-être publiques (au sens où elles étaient publiées en ligne), le RGPD contient toujours des principes de transparence, suggérant à la fois les utilisateurs et les personnes dont les données ont été récupérées auraient dû être informées.

Dans son déclaration hier, le Garante a également souligné l’absence de tout système pour empêcher les mineurs d’accéder à la technologie, levant un drapeau de sécurité des enfants – notant qu’il n’y a pas de fonction de vérification de l’âge pour empêcher un accès inapproprié, par exemple.

De plus, le régulateur a exprimé ses inquiétudes quant à l’exactitude des informations fournies par le chatbot.

ChatGPT et d’autres chatbots d’IA générative sont connus pour produire parfois des informations erronées sur des individus nommés – un défaut que les créateurs d’IA qualifient d’« hallucinant ». Cela semble problématique dans l’UE puisque le RGPD accorde aux individus un ensemble de droits sur leurs informations, y compris le droit de rectifier les informations erronées. Et, actuellement, il n’est pas clair qu’OpenAI dispose d’un système permettant aux utilisateurs de demander au chatbot d’arrêter de mentir à leur sujet.

L’entreprise basée à San Francisco n’a toujours pas répondu à notre demande de commentaires sur l’enquête du Garante. Mais dans sa déclaration publique aux utilisateurs géobloqués en Italie, il affirme : « Nous nous engageons à protéger la vie privée des gens et nous pensons que nous proposons ChatGPT conformément au RGPD et aux autres lois sur la confidentialité. »

« Nous collaborerons avec le Garantie dans le but de restaurer votre accès le plus rapidement possible », écrit-il également, ajoutant : « Beaucoup d’entre vous nous ont dit que vous trouviez ChatGPT utile pour les tâches quotidiennes, et nous sommes impatients de le rendre à nouveau disponible bientôt. »

Malgré une note optimiste à la fin de la déclaration, il n’est pas clair comment OpenAI peut résoudre les problèmes de conformité soulevés par le Garante. — étant donné l’ampleur des préoccupations liées au RGPD, il est présenté comme le lancement d’une enquête plus approfondie.

Le règlement paneuropéen appelle à la protection des données dès la conception et par défaut, ce qui signifie que les processus et principes axés sur la confidentialité sont censés être intégrés dans un système qui traite les données des personnes dès le départ (c’est-à-dire l’approche inverse consistant à récupérer des données et à demander pardon plus tard). .

Les sanctions en cas de violation confirmée du RGPD peuvent quant à elles atteindre 4 % du chiffre d’affaires global annuel d’un sous-traitant (ou 20 millions d’euros, selon le montant le plus élevé).

De plus, étant donné qu’OpenAI n’a pas d’établissement principal dans l’UE, toutes les autorités de protection des données du bloc sont habilitées à réglementer ChatGPT — ce qui signifie que les autorités de tous les autres pays membres de l’UE pourraient choisir d’intervenir et d’enquêter — et d’imposer des amendes pour toute violation constatée. (dans un délai relativement court, car chacun n’agirait que dans son propre patch). Il est donc confronté au niveau le plus élevé d’exposition au RGPD, et n’est pas prêt à jouer au jeu du forum shopping que d’autres géants de la technologie ont utilisé pour retarder l’application de la vie privée en Europe.