OpenAI est confronté à une autre plainte sur la vie privée dans l'Union européenne. Celle-ci, déposée par l'organisation à but non lucratif noyb au nom d'un plaignant individuel, vise l'incapacité de son chatbot AI ChatGPT à corriger les informations erronées qu'il génère sur les personnes.
La tendance des outils de GenAI à produire des informations erronées a été largement documentée. Mais cela met également la technologie sur une trajectoire de collision avec le Règlement général sur la protection des données (RGPD) de l'UE - qui régit la manière dont les données personnelles des utilisateurs régionaux peuvent être traitées.
Les sanctions en cas de non-conformité au RGPD peuvent atteindre jusqu'à 4% du chiffre d'affaires annuel mondial. Bien plus important pour un géant riche en ressources comme OpenAI: les régulateurs de la protection des données peuvent ordonner des changements dans la façon dont les informations sont traitées, de sorte que l'application du RGPD pourrait remodeler la manière dont les outils d'IA générative peuvent fonctionner dans l'UE.
OpenAI a déjà été contraint de faire des changements après une première intervention de l'autorité de protection des données italienne, qui avait brièvement forcé une fermeture locale de ChatGPT en 2023.
Maintenant, noyb dépose la dernière plainte en matière de RGPD contre ChatGPT auprès de l'autorité de protection des données autrichienne au nom d'un plaignant anonyme (décrit comme une «personnalité publique») qui a découvert que le chatbot AI avait produit une date de naissance incorrecte pour lui.
En vertu du RGPD, les personnes de l'UE disposent d'un ensemble de droits liés aux informations les concernant, y compris le droit de faire rectifier des données erronées. noyb soutient qu'OpenAI ne respecte pas cette obligation en ce qui concerne la sortie de son chatbot. Il a déclaré que la société avait refusé la demande du plaignant de rectifier la date de naissance incorrecte, affirmant qu'il était techniquement impossible de corriger.
Il a plutôt proposé de filtrer ou de bloquer les données sur certaines demandes, telles que le nom du plaignant.
La politique de confidentialité d'OpenAI indique que les utilisateurs qui constatent que le chatbot AI a généré des «informations factuellement inexactes vous concernant» peuvent soumettre une «demande de correction» via privacy.openai.com ou en envoyant un e-mail à dsar@openai.com. Cependant, elle tempère la ligne en avertissant: «Compte tenu de la complexité technique de notre modèle de fonctionnement, nous pourrions ne pas être en mesure de corriger l'inexactitude dans chaque cas».
Dans ce cas, OpenAI suggère aux utilisateurs de demander qu'il supprime complètement leurs informations personnelles de la sortie de ChatGPT - en remplissant un formulaire Web.
Le problème pour le géant de l'IA est que les droits du RGPD ne sont pas à la carte. Les personnes en Europe ont le droit de demander une rectification. Ils ont également le droit de demander la suppression de leurs données. Mais, comme le souligne noyb, ce n'est pas à OpenAI de choisir quels de ces droits sont disponibles.
D'autres éléments de la plainte mettent en avant des préoccupations de transparence du RGPD, noyb soutenant qu'OpenAI est incapable de dire d'où proviennent les données qu'elle génère sur les individus, ni quelles données le chatbot stocke sur les personnes.
C'est important car, une fois de plus, le règlement donne aux individus le droit de demander ces informations en faisant une demande d'accès aux données (SAR) d'une personne. Selon noyb, OpenAI n'a pas répondu adéquatement à la SAR du plaignant, omettant de divulguer des informations sur les données traitées, leurs sources ou leurs destinataires.
Commentant la plainte dans un communiqué, Maartje de Graaf, avocate en protection des données chez noyb, a déclaré: «Inventer de fausses informations pose déjà des problèmes en soi. Mais quand il s'agit de fausses informations sur les individus, cela peut avoir des conséquences graves. Il est clair que les entreprises ne sont actuellement pas en mesure de faire respecter les chatbots comme ChatGPT la législation de l'UE, lorsqu'ils traitent des données sur des personnes. Si un système ne peut pas produire de résultats précis et transparents, il ne peut pas être utilisé pour générer des données sur des individus. La technologie doit suivre les exigences légales, et non l'inverse».
L'entreprise a déclaré demander à l'autorité autrichienne de protection des données d'enquêter sur la plainte concernant le traitement des données par OpenAI, tout en l'incitant à imposer une amende pour garantir une conformité future. Mais elle a ajouté qu'il est «probable» que l'affaire soit traitée par le biais de la coopération de l'UE.
OpenAI est confronté à une plainte très similaire en Pologne. En septembre dernier, l'autorité locale de protection des données a ouvert une enquête sur ChatGPT suite à la plainte d'un chercheur en confidentialité et en sécurité qui a également constaté qu'il était incapable de faire corriger des informations incorrectes le concernant par OpenAI. Cette plainte accuse également le géant de l'IA de ne pas respecter les exigences de transparence du règlement.
L'autorité de protection des données italienne a quant à elle toujours une enquête ouverte sur ChatGPT. En janvier, elle a produit une décision préliminaire, indiquant à l'époque qu'elle estimait qu'OpenAI avait violé le RGPD de plusieurs manières, notamment en ce qui concerne la tendance du chatbot à produire des informations erronées sur les gens. Les conclusions portent également sur d'autres questions cruciales, telles que la légalité du traitement.
L'autorité italienne a donné à OpenAI un mois pour répondre à ses conclusions. Une décision finale reste en suspens.
Maintenant, avec une autre plainte en matière de RGPD dirigée contre son chatbot, le risque qu'OpenAI fasse face à une série d'actions de mise en conformité au RGPD dans différents États membres a augmenté.
L'année dernière, l'entreprise a ouvert un bureau régional à Dublin - dans un mouvement qui semble destiné à réduire son risque réglementaire en faisant en sorte que les plaintes en matière de confidentialité soient traitées par la Commission de protection des données en Irlande, grâce à un mécanisme du RGPD qui vise à rationaliser la surveillance des plaintes transfrontalières en les orientant vers une seule autorité de l'État membre où l'entreprise est "principalement établie".
ChatGPT viole les lois sur la vie privée en Europe, affirme la DPA italienne à OpenAI
La Pologne ouvre une enquête sur la vie privée de ChatGPT suite à une plainte au titre du RGPD
