Skip links
Envelope Linkedin Twitter
Numéricité
Published in: Article

DeepSeek, une entrée fracassante au mépris du RGPD ?

Author
Published on:

Notre juriste et consultant Wissem Bellili se saisit des actualités de cette semaine en matière de droit du numérique :

  • La semaine dernière, la société chinoise DeepSeek AI a dévoilé une nouvelle version de son intelligence artificielle générative (IAG) ;
  • Et hier, c’était la journée européenne de la protection des données ! 

Un mix parfait pour décortiquer ensemble la conformité au RGPD de DeepSeek !

DeepSeek, c’est quoi ?

DeepSeek est une IAG lancée en novembre 2023 en Chine et qui a connu plusieurs améliorations en 2024. Particulièrement, sa nouvelle version “R1” le 20 janvier 2025 explose tous les records, lui permettant même d’occuper la première place des magasins d’application (en détrônant un certain ChatGPT). Contrairement à son rival américain, le code de DeepSeek est ouvert (sous licence MIT) et l’utilisation du chatbot est totalement gratuite.

Et alors, nos données sont protégées si on l’utilise ?

Forcément, chez Numéricité, on s’est intéressés à la protection de la vie privée et des données à caractère personnel sur l’outil, à l’instar de la solution d’OpenAI l’année passée. À date, DeepSeek met à disposition de ses utilisateurs deux documents de conformité classiques : une politique de confidentialité et des conditions générales d’utilisation. La création d’un compte sur DeepSeek nécessite de renseigner (en France à minima) une adresse courriel et un mot de passe (qui n’a qu’une règle de longueur, entre 8 et 50 caractères).

Concernant la politique de confidentialité  :

  • Les données collectées directement sont les suivantes : adresse courriel et/ou numéro de téléphone, mot de passe, date de naissance, nom d’utilisateur, champs libres, historique de discussion, adresse IP, cookies et traceurs ;
  • Les données collectées indirectement sont les suivantes : informations reliées à Apple ou Google (en cas de connexion ou d’inscription hors DeepSeek) et les actions effectuées en dehors de DeepSeek comme les activités sur d’autres sites, applications (ça, c’est quand même alarmant) ;
  • Les données recueillies sont stockées sur des serveurs en Chine ;
  • Il n’y a pas de base légale prévue pour le traitement des données collectées ni de durée de conservation fixée ;
  • Il n’y a pas d’informations sur les sous-traitants qui aident DeepSeek à traiter les données des utilisateurs (hébergeur, mesure d’audience) ni de bandeau cookies.

À noter également qu’il n’existe pas (encore) de contrat de sous-traitance (Data Processing Agreement ou Addendum), conformément à l’article 28-3 du RGPD, que l’on peut retrouver du côté d’OpenAI pour ChatGPT :

Les manquements susvisés sont partagés par la GPDP – la CNIL italienne – qui a adressé hier une demande d’informations à DeepSeek (le RGPD s’applique puisque les ressortissants européens peuvent utiliser l’outil chinois). Cette demande porte sur les données collectées, les sources, les finalités, la base légale, le stockage et les données d’entraînement de l’IA. Comme pour ChatGPT l’année dernière, la GPDP peut suspendre l’accès à DeepSeek en Italie si les réponses apportées (dans un délai de 20 jours) ne sont pas suffisantes en matière de confidentialité et de sécurité des données.

Quelle note on lui attribue dans le Sanity Check ?

Si on reprend notre grille de critères mise en place sur le Sanity Check, la note obtenue par DeepSeek n’est pas rassurante : F (la plus basse…)

  • Les données des utilisateurs sont transférées en dehors de l’Union européenne et le transfert n’est pas encadré (pas de décision d’adéquation entre la Chine et l’UE et pas de clauses contractuelles types) ;
  • Il n’existe pas de contrat de sous-traitance, donc impossible d’évaluer sa conformité eu égard à l’article 28-3 du RGPD ;
  • La documentation (uniquement en anglais) n’est pas complète et suffisamment claire (base légale manquante, durée de conservation floue, aucune information sur les sous-traitants et les cookies déposés) ;
  • Aucune mesure de sécurité n’est précisée ;
  • On ne connaît pas l’hébergeur de données ni ses potentielles certifications de sécurité.

Que nous dit ChatGPT sur sa conformité et celle de DeepSeek au RGPD ?

J’ai tenté de poser la question au chatbot d’OpenAI (impossible de m’inscrire sur DeepSeek pour poser la même question car l’outil est victime d’une cyberattaque et/ou d’un trop grand nombre de demandes d’inscriptions) et la réponse est plutôt intéressante pour les deux IAG.

Pour conclure, OpenAI après avoir reconnu que le modèle R1 de DeepSeek est “impressionnant” accuse l’IA chinoise d’avoir aspiré les contenus de ChatGPT (ironique quand on sait d’où viennent ceux de l’IA états-unienne) et déclare enquêter aux côtés de Microsoft pour violation de ses conditions générales d’utilisation par DeepSeek notamment : 

  • Il vous est interdit de tenter ou d’aider quiconque à faire de l’ingénierie inverse, à décompiler ou à découvrir le code source ou les composants sous-jacents de nos Services, y compris nos modèles, algorithmes ou systèmes ;
  • d’extraire automatiquement ou par programmation des données ou des Données de Sortie ;
  • Utiliser des Données de Sortie pour développer des modèles qui concurrencent OpenAI”.

Affaire à suivre !

You may also like

fr_FRFR
en_USEN fr_FRFR