Plainte pour atteinte à la vie privée contre ChatGPT en raison de fausses informations
L’organisation autrichienne Noyb a déposé lundi une plainte en matière de protection des données contre le développeur de ChatGPT OpenAI. Elle dénonce une violation du règlement général sur la protection des données (RGPD), car le chatbot fournit des informations erronées sur les individus. La possibilité de rectification ou de suppression prévue par la loi n’existe pas.
ChatGPT est ce que l’on appelle un chatbot, basé sur l’intelligence artificielle (IA). Les utilisateurs peuvent par exemple poser des questions à l’outil sous la forme d’un dialogue, auquel il répond ensuite.
Noyb a déposé la plainte conjointement avec une personne concernée. Le plaignant serait une personne publique ; on ignore de qui il s’agit exactement.
L’organisation reproche à ChatGPT d’avoir répondu à plusieurs reprises à la question de la date de naissance du plaignant par des informations erronées, au lieu d’indiquer que les données nécessaires n’étaient pas disponibles.
Toutefois, selon le règlement général sur la protection des données (RGPD), les données personnelles doivent être exactes. Il existe en outre un droit de rectification des informations erronées – et il est également possible de demander la suppression des informations erronées. Les entreprises doivent également être en mesure de prouver quelles données elles détiennent sur les individus et quelles sont leurs sources, conformément au droit d’accès prévu par le RGPD.
OpenAI doit se conformer aux directives
Maartje de Graaf, juriste spécialisée dans la protection des données chez Noyb, a déclaré : « Inventer de fausses informations est déjà hautement problématique en soi. Mais lorsqu’il s’agit de fausses informations sur des personnes, cela peut avoir de graves conséquences. Il est clair qu’à l’heure actuelle, les entreprises ne sont pas en mesure de mettre les chatbots comme ChatGPT en conformité avec la législation européenne. Quand un système ne peut pas fournir de résultats précis et transparents, il ne peut pas être utilisé pour créer des données personnelles. C’est la technologie qui doit se conformer à la loi, et non l’inverse ».
Selon Noyb, OpenAI a rejeté une demande du plaignant visant à corriger ou à supprimer les données. L’entreprise a fait valoir que la correction des données n’était pas possible. OpenAI aurait expliqué qu’il était certes possible de bloquer des données pour certaines demandes. Mais cela filtrerait également d’autres informations sur le plaignant.
L’entreprise n’a pas répondu aux demandes d’information de la personne concernée.
Maartje de Graaf a constaté que « l’obligation de répondre à une demande d’information s’applique à toutes les entreprises. Il est évidememnt possible de consigner les données d’entraînement utilisées afin d’avoir au moins une idée des sources d’information en question ».
Les défenseurs de la vie privée doivent infliger une amende
Noyb et la personne concernée ont déposé leur plainte auprès de l’autorité autrichienne de protection des données (DPA) et demandent à cette dernière d’enquêter sur le traitement des données par OpenAI. L’objectif de cette enquête est de déterminer quelles mesures ont été prises par l’entreprise pour garantir l’exactitude des données personnelles.
OpenAI doit également répondre à la demande d’information du plaignant et mettre son traitement de données en conformité avec le RGPD. La DPD devrait en outre infliger une amende à l’entreprise.
Les chatbots critiqués
Selon Noyb, OpenAI indique elle-même que le chatbot « génère des réponses aux requêtes des utilisateurs en prédisant les mots les plus probables qui pourraient apparaître en réponse à la question en question ». L’entreprise ne peut donc pas garantir l’exactitude des réponses données.
Selon Noyb, il s’agit « clairement d’un problème structurel ». D’après un rapport du New York Times (en anglais) paru fin 2023, les chatbots inventent des informations dans au moins 3 % des cas. Pour certains systèmes, ce chiffre atteindrait même 27 %. La création de fausses informations est également appelée « hallucination de l’IA ».
OpenAI a déjà eu des ennuis avec la législation européenne sur la protection des données : l’autorité italienne de protection des données avait temporairement interdit (en anglais) à ChatGPT l’année dernière de traiter les données des utilisateurs italiens. L’autorité avait notamment reproché (en anglais) à OpenAI l’absence de base légale pour la « collecte et le traitement massifs de données à caractère personnel » afin d’entraîner les algorithmes utilisés. (dpa / js)