Sommes-nous vraiment surpris ? L’admiration devant les prouesses de ChatGPT laisse désormais place à l’inquiétude. Pire : aux questions juridiques. Le robot conversationnel à succès – avec lequel certains échangent longuement, en lui dévoilant peut-être un peu trop de leur situation personnelle – est-il vraiment respectueux de la protection des données de ses utilisateurs ? Dans le doute, l’Italie a annoncé le bloquer ce vendredi 31 mars. Mais que craignent vraiment les autorités transalpines ? Libé fait le point.
Pourquoi l’Italie a-t-elle décidé de bloquer ChatGPT ?
Sans crier gare, les autorités italiennes ont coupé le sifflet du chatbot développé par l’entreprise américaine OpenAI. Cette décision, prise «avec effet immédiat» par l’Autorité nationale de protection des données personnelles, est motivée par deux inquiétudes : l’Italie reproche à l’IA «l’absence d’une note d’information aux utilisateurs dont les données sont récoltées» ainsi que «l’absence de tout filtre pour vérifier l’âge des utilisateurs». Un laxisme qui, s’inquiète-t-elle, «expose les mineurs à des réponses absolument non conformes par rapport à leur niveau de développement». La limitation de ChatGPT est toutefois temporaire et se maintiendra jusqu’à ce que la société se conforme aux règles de confidentialité.
Il y a vraiment un âge minimum pour utiliser ChatGPT ?
Eh oui, même si c’est encore mal connu. Les services d’OpenAI sont accessibles aux 13 ans et plus. Pour les moins de 18 ans, la société stipule dans ses conditions d’utilisation qu’une autorisation parentale est nécessaire. Toutefois, aucune vérification formelle de l’âge ou de cette autorisation parentale n’est mise en place.
Quelles sont les données collectées par le robot ?
Toutes, ou presque. Chef d’équipe de data scientists chez Kaspersky, Vladislav Tushkanov affirme : «OpenAI est transparent en ce qui concerne ses pratiques vis-à-vis des données.» Nom, coordonnées, lieu de résidence, informations de carte de paiement… En effet, l’entreprise ne se cache pas, dans sa FAQ, de récolter déjà pléthore d’informations personnelles sur ses utilisateurs. Mais pas que. Tous les échanges avec ChatGPT sont soigneusement mémorisés. Comme OpenAI l’indique : «Dans le cadre de notre engagement envers une IA sûre et responsable, nous examinons les conversations pour améliorer nos systèmes.» Et de confirmer : «Vos conversations peuvent être examinées par nos formateurs en IA.»
Demande de poème, de dissertation, de bout de code, confessions nocturnes… Tout reste dans la mémoire du chatbot. Pour Vladislav Tushkanov, il s’agit donc aussi de mettre en garde l’internaute : «Il a été remarqué que les individus tendent à s’ouvrir, à être sincères et entiers lorsqu’ils communiquent avec des agents d’intelligence artificielle. Il est essentiel de traiter tous les chatbots comme de parfaits inconnus.»
Pourquoi ChatGPT a-t-il besoin d’autant de données ?
Pour s’améliorer. Entraînées sur des quantités faramineuses de textes, les connaissances du robot conversationnel s’arrêtent en 2021. Depuis, chaque échange entretenu avec un internaute lui permet de continuer à apprendre par un procédé dit de «deep learning». Autrement dit : les données collectées nourrissent la machine et huilent son mécanisme de jour en jour. Le problème ? Ce modèle, celui-là même qui assure le fonctionnement de ChatGPT, pose encore des questions de conformité aux régulations en vigueur, notamment en Europe.
Ainsi, l’autorité italienne soulève une question fondamentale dans le développement d’IA futures en ne considérant pas comme justifiés «le recueil et la conservation en masse des données personnelles, dans le but d’entraîner les algorithmes faisant fonctionner la plateforme». D’autant moins justifiés, selon elle, que «les informations fournies par ChatGPT ne correspondent pas toujours aux données réelles» et ce malgré son entraînement.
Le robot n’est donc pas conforme au RGPD européen ?
Selon l’Italie, non. Mais, comme le souligne l’avocate Deborah Cohen dans un article de Village Justice, la question doit encore être tranchée. Car la conformité de ChatGPT au Règlement général de la protection des données européen (RGPD) n’a pas encore fait l’objet d’une «décision de justice ni [d’une] jurisprudence». L’experte relève d’ailleurs que, dans sa politique de confidentialité, OpenAI ne mentionne même pas le texte adopté par l’UE en 2016. La société assure toutefois respecter le California Consumer Privacy Rights Act qui garantit le droit aux habitants de la Californie (Etats-Unis) de savoir quelles informations personnelles sont utilisées.
Pourquoi l’Italie prend-elle cette décision maintenant ?
Car les inquiétudes s’accumulent. Le 20 mars, le chatbot a été victime d’un bug pour le moins embarrassant : certaines de ses conversations, mais aussi des informations personnelles (dont des informations de paiement) de ses utilisateurs ont fuité. On ne connaît toutefois pas la nationalité des internautes concernés. De surcroît, lundi, l’agence de police européenne Europol a averti que les criminels pouvaient aussi utiliser le robot, notamment dans le cas de fraudes, de hameçonnage, de désinformation… Et le pompon sur la Garonne : Elon Musk (alors qu’il fait partie des fondateurs d’OpenAI) et des centaines d’experts mondiaux ont signé le 29 mars un appel à une pause de six mois dans la recherche sur les intelligences artificielles plus puissantes que ChatGPT 4, le modèle d’OpenAI lancé mi-mars. L’appel évoquant «des risques majeurs pour l’humanité».
D’autres pays ont-ils aussi choisi de bloquer l’IA ?
Sans compter la Chine où l’accès à ChatGPT est seulement possible à l’aide d’un VPN, l’Italie est le premier pays à prendre une telle mesure. Désormais, comme le précise l’autorité transalpine, OpenAI dispose d’un délai de 20 jours pour communiquer «les mesures entreprises» afin de remédier à la situation. «Sous peine d’une sanction allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel», menace-t-elle. D’autres pays européens vont-ils lui emboîter le pas ? Comme le relève Wired, une réunion fin avril rassemblera tous les garants de la vie privée de l’Union européenne. Nul doute que la décision italienne devrait faire parler.
Côté français, la Commission nationale de l’informatique et des libertés (Cnil) indique à Libération ne pas avoir reçu de plainte au sujet de ChatGPT et, de fait, ne pas avoir de procédure à son encontre en cours. «La CNIL s’est rapprochée de son homologue italienne afin d’échanger sur les constats qui ont pu être faits», précise-t-elle toutefois. Avant d’ajouter vouloir «clarifier le cadre légal [des IA génératives] dans les prochains mois».
