Le 31 mars, l'autorité des données italiennes, la Garante, avait posé un ultimatum inattendu à OpenAI. Elle donnait un mois à l'entreprise américaine pour répondre à une série d'accusations contre son outil ChatGPT. Le régulateur reprochait à la startup sa collecte massive des données personnelles des Italiens pour entraîner ses intelligences artificielles, ainsi que son absence de protection contre l'usage de l'outil par des personnes mineures.
Dès le lendemain, OpenAI avait arrêté de distribuer ChatGPT en Italie, le temps de régler l'affaire. Le CEO de la startup Sam Altman avait simplement indiqué : « nous pensons que nous respectons les lois sur la vie privée. » Son argumentaire envoyé par lettre, accompagné de la promesse de plusieurs changements, a convaincu la Garante. Elle a donc levé ses menaces de sanction et permis à OpenAI de rétablir ChatGPT dans le pays sans risque légal. Mais les quelques victoires obtenues par la Garante ne suffiront pas sur le long terme.
OpenAI tente de rassurer les Européens
Dans son communiqué, l'autorité italienne des données énumère point par point les preuves de bonne foi apportées par OpenAI. Elle relève notamment que l'entreprise s'engage à publier en évidence sur son site une note adressée aux Européens, qui décrira quels types de données personnelles sont traitées pour entraîner ses algorithmes.
OpenAI a également d'ores et déjà publié un formulaire dédié pour que les Européens -utilisateurs ou non- puissent demander à ce que leurs données personnelles mentionnées par ChatGPT soient supprimées. Il devrait également proposer un formulaire similaire pour que leurs données personnelles ne soient pas utilisées dans l'entraînement des IA.
Quant à la question de l'accès aux personnes mineures, OpenAi a annoncé qu'il ajouterait une étape de confirmation (simplement déclarative) de l'âge lors de la première utilisation du service, et qu'il enregistrerait la date de naissance des utilisateurs lors de l'inscription.
Une trêve avant la prochaine bataille ?
Le régulateur se retrouve une fois de plus dans un jeu d'équilibriste entre une loi forte -le règlement général sur la protection des données- et l'arrivée irrésistible d'une nouvelle technologie. Résultat, la décision de la Garante a des allures de compromis. Et pour cause ! Le RGPD semble incompatible avec le fonctionnement d'entreprises comme OpenAI. Par exemple, il exige que les personnes donnent un consentement préalable au traitement de leurs données personnelles, ce qui n'est pas le cas dans la collecte massive des entreprises d'IA. Pire, il prévoit que le responsable du traitement des données précise chaque finalité, alors que ChatGPT doit en principe pouvoir répondre à des centaines de cas d'usage.
Autrement dit, la décision de la Garante ne met pas fin au casse-tête législatif posé par les intelligences artificielles génératives, loin de là. Une longue série de batailles juridiques attend OpenAI et ses concurrents. Le 13 avril, l'Espagne a annoncé elle-aussi l'ouverture d'une enquête sur ChatGPT, tandis que l'Union européenne lançait un groupe de travail pour favoriser la coopération des régulateurs nationaux sur le sujet. En France, la Cnil s'est dotée en janvier d'une division spécialisée en intelligence artificielle afin d'accompagner la nouvelle vague qui frappe le secteur, et elle prévoit de « clarifier le cadre légal des bases d'apprentissage et des IA génératives dans les prochains mois ».
Pour ne rien arranger à la situation, les discussions légales ne se limitent pas aux données personnelles. Jeudi, la Commission européenne a ajouté de nouvelles dispositions dans l'IA Act, le texte européen d'encadrement de l'intelligence artificielle encore en discussion. S'il était voté aujourd'hui, il forcerait les entreprises à lister tous les contenus soumis aux droits d'auteurs utilisés pour entraîner les IA. Les débats juridiques sur l'intelligence artificielle générative ne font que commencer...
Réinstaurer l’ISF, le scénario qui monte pour financer la transition écologique (46)
Sujets les + commentés