ChatGPT , le chatbot développé par l’entreprise OpenAI est disponible depuis le 30 novembre 2022.
ChatGPT permet à n’importe qui de pouvoir poser des questions à une intelligence artificielle basée sur le “deep learning” (c’est à dire le traitement en masse de données pour augmenter la performance d’un algorithme et le rendre de plus en plus “intelligent” et autonome).
Il est possible de demander à ChatGPT un simple renseignement mais on peut également lui demander de rédiger une dissertation, d’écrire un code pour une nouvelle application ou de résoudre une équation.
On peut présager dans un futur proche que cet outil et ceux qui s’en inspireront vont encore s’affiner et bouleverser notre manière de travailler.
Au niveau de la protection des données à caractère personnel, la politique vie privée de OpenAI ( la société derrière ChatGPT) nous apprend que les données à caractère personnel des utilisateurs (y compris leur adresse IP , le pays, le type de serveur utilisé et son paramétrage et toutes les demandes introduites dans le chat et les réponses de ChatGPT) sont réutilisées pour faire des analyses et pour améliorer ses services.
On se doute également que pour fonctionner ChatGPT utilise des quantités gigantesques d’informations (y compris des données à caractère personnel) qui ont étés rendues publiques sur internet (mais pas forcément pour les finalités pour lesquelles elles sont rendues publiques).
La question qui se pose donc est de savoir si l’usage de ChatGPT est actuellement sans risques pour les utilisateurs européens et est conforme aux règles protégeant les données à caractère personnel dans l’Union européenne.
A/ Les informations « collectées » sur internet par ChatGPT
L’IA (intelligence artificielle) nécessite de s’entrainer sur un grand nombre de données pour s’améliorer. (Big Data)
En pratique, OpenAI, la société derrière ChatGPT, aurait déjà “scrapé” (collecté) plus de 300 milliards de mots sur internet, y compris des informations personnelles.
La collecte et la réutilisation massive de données à caractère personnel dans le cadre du Big Data et de l’intelligence artificielle peut toutefois conduire à des violations de la vie privée.
En effet, traiter des données à caractère personnel rendues publiques pour des finalités différentes et incompatibles avec celles pour lesquelles ces données ont étés rendues publiques a l’origine (sans information préalable et sans base légale) entraine la violation d’un certain nombre de principes du RGPD.
On pense en particulier au principe de transparence et à celui de loyauté du traitement, celui de limitation des finalités, de licéité du traitement et à la minimisation des données.
L’opacité lors de la collecte et la réutilisation massive de données à caractère personnel a en tout cas pour effet de rendre impossible le suivi et l’exercice des droits des personnes concernées (notamment le droit à l’oubli).
B/ Le traitement des données des utilisateurs par ChatGPT
Selon sa politique vie privée [1] (version en cours le 11 mars 2023), OpenAI (via ChatGPT) conserve et utilise les demandes (et réponses) introduites par des utilisateurs dans le chat afin de pouvoir “faire des analyses et améliorer ses services”.
Le risque pour la vie privée des utilisateurs concerne le traitement des données récoltées par ChatGPT via les “prompts” (instructions ou demandes introduites par les utilisateurs dans le chat) et les réponses fournies par ChatGPT lorsque ces informations sont combinées avec les autres données collectées par ChatGPT qui peuvent permettre l’identification des utilisateurs. (Chat GPT demande l’adresse mail des utilisateurs (pour se connecter), collecte les adresses IP et d’autres données lors de l’utilisation du chat).
Par ailleurs au niveau des transferts, en utilisant ChatGPT, l’utilisateur qui y accède depuis l’Union européenne est réputé avoir accepté sans réserve que ses données soient traitées et conservées aux États-Unis.
OpenAI indique enfin qu’elle peut transmettre certaines données personnelles à des tiers afin de réaliser ses objectifs commerciaux sans que l’on sache précisément les catégories de données ou les traitements concernés.
Il est bien mentionné dans la politique vie privée de OpenAI que certaines données peuvent être agrégées (donc en principe anonymisées) avant certains traitements (mais comme l’indique le mot “certains”, ce n’est pas systématique et on ne sait pas de quels traitements il s’agit).
Sans entrer dans le détail on peut apercevoir les risques (potentiels) de ces traitements au niveau de la vie privée (par exemple : la création et vente de profils, les risques liés aux transferts de données vers les Etats-Unis, l’impact de fuites de données pour les utilisateurs) en tenant compte du fait qu’il manque un certains nombre d’informations obligatoires dans la politique vie privée de Open AI (recours, durées de rétention, mesures de sécurité etc..) et que la finalité « amélioration des services et analyses » est une catégorie fourre tout.
Ce manque d’information relatifs aux traitements dans la politique vie privée de OpenAI a également pour conséquence de limiter la possibilité pour les personnes concernées de pouvoir garder un contrôle sur leurs données à caractère personnel et de pouvoir exercer leurs droits (notamment le droit à l’oubli).
C/ L’avis de la CNIL sur le traitement des données sensibles par un chatbot [2]
Les chatbots proposant souvent un mode d’écriture libre, ils peuvent être amenés à traiter des données sensibles directement fournies par l’utilisateur, sans que le responsable de traitement ou le sous-traitant ne l’ait anticipé.
Par exemple à une personne souffrante qui introduit une demande relative à sa santé ou à un utilisateur qui pose des questions qui laissent deviner son orientation politique ou son appartenance syndicale.)
Dans ce cas, les organismes ne sont pas tenus de recueillir le consentement préalable des utilisateurs. Ils devront cependant mettre en place des mécanismes permettant de minimiser les risques pour les droits et libertés des personnes :
• en communiquant, avant toute utilisation du chatbot, une mise en garde invitant les personnes à s’abstenir de communiquer des données sensibles ;
• en mettant en place un système de purge, immédiat ou au moins régulier, car la conservation de ces données sensibles n’est pas pertinente.
Dans le cas de ChatGPT on peut se demander si on ne peut pas anticiper que les utilisateurs vont inclure des données sensibles ce qui obligerait OpenAI à devoir justifier ce type de traitements sur base d’une exception de l’article 9.2 du RGPD.
On remarque qu’il existe bien dans ChatGPT une mise en garde des utilisateurs au sujet de la communication des données sensibles dans le chat, mais on peut s’interroger sur son caractère dissuasif notamment auprès des jeunes.
Au niveau des purges, ce système semble difficile à mettre en place dans le contexte de ChatGPT et contraire à son modèle (le système s’entraine et intègre toutes les informations qu’on lui fournit).
D/ Les décisions automatisées ayant un impact important pour les personnes concernées.
Enfin, si ChatGPT est utilisé comme source principale d’information pour prendre des décisions (par des utilisateurs, que ce soit des personnes, des sociétés ou certains logiciels fonctionnant en synergie avec ChatGPT) et que ces décisions ont un impact important pour des personnes physiques et qu’il s’avère qu’il n’y a pas de réelle intervention humaine dans le processus décisionnel, ceci crée également des risques potentiels pour les personnes concernées.
On pense par exemple à des risques de discriminations ou d’erreurs qui peuvent être liées à l’algorithme lui meme (biais) ou à la justesse des données sur lesquelles l’intelligence artificielle s’entraine.
Le responsable du traitement doit dans ces cas pouvoir justifier d’une exception légale à l’interdiction générale de tels traitements automatisés avec un impact important pour les personnes concernées.
Il doit également mettre en place les mesures nécessaires pour informer les personnes concernées de la logique derrière le traitement et leur donner la possibilité de demander une intervention humaine dans le processus décisionnel.
Conclusion
Il semble actuellement à la lecture de la politique vie privée de OpenAI que l’impact de l’utilisation de ChatGPT sur la vie privée des utilisateurs n’a pas fait l’objet d’une analyse approfondie au préalable et que cet outil présente actuellement certains risques pour les utilisateurs et autres personnes concernées, dont :
• Le risque qu’il y ait des traitements ultérieurs (non compatibles) avec les données des utilisateurs y compris des transferts vers des partenaires commerciaux aux Etats Unis ou ailleurs ;
• L’information fournie par OpenAI aux personnes concernées (utilisateurs) est insuffisante. Cela a pour conséquence d’empêcher les personnes concernées de pouvoir suivre et contrôler leurs données à caractère personnel et de pouvoir exercer leurs droits en connaissance de cause (notamment le droit à l’oubli).
• Il existe le risque que l’utilisation de ChatGPT par certains utilisateurs (personnes, sociétés ou logiciels fonctionnant en synergie avec ChatGPT) mène à des décisions sans réelle intervention humaine qui ont un impact important pour des personnes physiques ;
On ne sait pas non plus vu le manque d’information si ChatGPT a pris certaines mesures préalables nécessaires pour limiter les risques, notamment :
• Mener une analyse d’impact relative à la protection des données (ce qui est obligatoire vu le volume de données à caractère personnel traitées et l’utilisation de nouvelles technologies) et adopter suite à cette analyse des mesures adéquates pour réduire ou supprimer les risques (en particulier en ce qui concerne le traitement de données sensibles et le respect du principe de minimisation des données).
• La prise en compte du cadre légal sur l’intelligence artificielle qui entrera bientôt en vigueur (notamment la proposition de règlement 2021/0106 qui prévoit des obligations en matière de transparence, de tests et d’évaluations à réaliser avant la mise sur le marché d’un produit utilisant l’intelligence artificielle).
Pour plus d’informations dans le cadre d’une demande liée à cette thématique, n’hésitez pas à demander un entretien via notre formulaire de contact sur le site web ou écrivant à info@md-lex.be.
[1] https://openai.com/policies/privacy-policy
[2] https://www.cnil.fr/fr/chatbots-les-conseils-de-la-cnil-pour-respecter-les-droits-des-personnes