OpenAI, l'entreprise à l'origine du chatbot IA ChatGPT, fait l'objet d'une enquête de l'Autorité italienne de protection des données pour des violations potentielles du Règlement général sur la protection des données (RGPD) de l'Union européenne. Après plusieurs mois d'investigation, l'autorité italienne a émis une notification d'objection, soupçonnant OpenAI d'avoir enfreint la réglementation européenne sur la protection des données. Les détails des conclusions préliminaires n'ont pas été divulgués, mais OpenAI dispose de 30 jours pour répondre et présenter sa défense.
L'Autorité italienne de protection des données avait déjà exprimé des inquiétudes quant à la conformité d'OpenAI au RGPD lorsqu'elle a ordonné une suspension temporaire du traitement local des données par ChatGPT, entraînant la suspension du chatbot sur le marché italien. L'Autorité a notamment souligné l'absence de base légale adéquate pour la collecte et le traitement des données personnelles nécessaires à l'entraînement des algorithmes de ChatGPT. La sécurité des enfants et la tendance de l'outil d'IA à produire des informations inexactes sur les individus ont également été pointées du doigt.
Malgré des mesures provisoires prises pour résoudre certains problèmes soulevés par les autorités italiennes, OpenAI fait désormais face à des conclusions préliminaires selon lesquelles ChatGPT enfreint le droit européen. Le nœud du problème réside dans le fondement juridique invoqué par OpenAI pour le traitement des données personnelles nécessaires à l'entraînement de ses modèles d'IA, d'autant plus que ChatGPT a été développé à partir de données collectées sur Internet, y compris des données personnelles.
Base juridique du traitement des données et conséquences potentielles
OpenAI avait initialement invoqué l'« exécution d'untrac» comme base juridique pour l'entraînement de son modèle ChatGPT, mais les autorités italiennes lui ont ordonné de retirer cette référence. OpenAI ne disposait alors plus que de deux bases juridiques potentielles : le consentement ou l'intérêt légitime. Obtenir le consentement du grand nombre de personnes dont les données ont été traitées s'avère impossible, ce qui fait de l'intérêt légitime la principale base juridique. Cependant, cette base exige d'OpenAI qu'elle permette aux personnes concernées de s'opposer au traitement, ce qui pose des problèmes pour le fonctionnement continu d'un chatbot IA.
La question plus générale est de savoir si la Garante, l'autorité italienne de protection des données, acceptera finalement la notion d'intérêts légitimes comme base juridique valable dans ce contexte. Des décisions antérieures de la Cour de justice de l'Union européenne laissent entrevoir des obstacles potentiels, car les intérêts légitimes exigent un juste équilibre entre les intérêts du responsable du traitement et les droits et libertés des personnes concernées. Notamment, la Cour a jugé cette base inappropriée pour l'activité de publicité comportementale de Meta.
Réponse d'OpenAI et efforts continus de mise en conformité avec le RGPD
Face à la multiplication des risques réglementaires, OpenAI a cherché à établir une présence physique en Irlande, en se désignant comme prestataire de services pour les données des utilisateurs européens. L'objectif est d'obtenir le statut d'« établissement principal » en Irlande et de bénéficier d'un contrôle de conformité au RGPD assuré par la Commission irlandaise de protection des données. Toutefois, ce statut est encore en cours d'obtention et ChatGPT pourrait toujours faire l'objet d'enquêtes de la part des autorités de protection des données (APD) d'autres pays de l'UE.
Outre l'enquête italienne, OpenAI fait également l'objet d'un examen en Pologne suite à une plainte concernant des informations inexactes fournies par ChatGPT et la réponse d'OpenAI au plaignant. Les efforts d'OpenAI pour se coordonner avec les autorités de protection des données de l'UE par le biais du Comité européen de la protection des données pourraient aboutir à des décisions plus harmonisées, mais chaque autorité conserve la compétence pour statuer sur son territoire.
