Nous avons posé la question directement à ChatGPT qui répond : “ChatGPT est conçu pour respecter la vie privée en protégeant les données personnelles des utilisateurs”. La réponse interroge au regard des récents événements et de l’abondante actualité autour de ChatGPT ces derniers mois. Pour ne citer qu’eux, il y a eu : la décision du GPDP (Garante per la protezione dei dati personali, équivalent italien de la CNIL) de suspendre le traitement de données de ChatGPT sur son territoire, la déconnexion temporaire de ChatGPT suite à une fuite de données, la diffusion d’une lettre ouverte appelant à mettre en pause les développements sur l’intelligence artificielle, et enfin le fait qu’OpenAI fait l’objet d’une enquête auprès de l’autorité américaine, la Federal Trade Commission, tandis que plusieurs plaintes ont été déposées en France ou encore au Canada.
ChatGPT nuance :
“Toutefois, il est important de noter que ChatGPT est un système informatique et peut avoir des limitations en matière de respect de la vie privée. Par exemple, si vous partagez des informations personnelles sensibles lors d’une conversation avec ChatGPT, ces informations peuvent être stockées sur les serveurs de l’entreprise pour améliorer le modèle et les services associés. Cependant, ces données sont traitées de manière anonyme et conformément aux lois et réglementations en matière de protection de la vie privée”.
Concrètement, qu’en est-il ?
Comment ces données sont-elles traitées ?
La documentation de ChatGPT n’est pas très claire et laisse planer un doute sur la manière dont sont traitées les données. Il est difficile de comprendre le fonctionnement du Chat. C’est d’ailleurs ce que reproche le GPDP à la société OpenAI !
ChatGPT prétend que les données sont traitées de manière anonyme pour améliorer l’algorithme. Cependant, dans sa documentation la société précise que le contenu transmis par l’utilisateur dans le cadre de ChatGPT fait l’objet d’un traitement. L’utilisateur a la possibilité de s’opposer au traitement a postériori uniquement.
Il n’est pas clairement dit la manière dont sont traitées les données, leur durée de conservation, quelles sont les mesures mises en place pour garantir leur fiabilité. Peut-être que les données sont effectivement anonymisées mais il n’est pas indiqué à quel stade du traitement cette anonymisation est réalisée : au stade de la collecte, de l’apprentissage ou de la production des données ? A cet égard, il convient de souligner que s’agissant non pas de données à caractère personnel mais relatives au secret des affaires, certains ont constaté la fuite de documents confidentiels lorsqu’un autre utilisateur dialoguait avec ChatGPT. La documentation ne mentionne pas non plus quels sont les moyens utilisés pour garantir leur anonymisation.
De plus, seuls les utilisateurs entrant leurs propres données ont connaissance du traitement. Les tiers qui se voient scrapper leurs données disponibles en ligne ne sont pas informés ; de même que les tiers dont les données sont entrées par un utilisateur. Sur ce dernier point, il convient de souligner que si la société OpenAI peut être considérée comme responsable de traitement au sens du RGPD — c’est sur elle que repose les obligations relatives au respect de la vie privée — cela ne dédouane pas l’utilisateur de ses propres obligations. Si l’on se place du point de vue du RGPD, l’utilisateur dialogue avec ChatGPT dans un but déterminé : il doit en informer les personnes dont les données sont traitées par ChatGPT.
RGPD ou droit américain ?
La société OpenAI est basée à San Francisco. Sa politique de confidentialité indique que ChatGPT respecte la législation californienne (California Consumer Privacy Act). Cependant, cette législation est moins protectrice que le RGPD – qui encadre les traitements de données à caractère personnel au sein de l’Union européenne – comme le rappelle l’arrêt Schrems II de la Cour de justice de l’Union européenne du 16 juillet 2020.
Le RGPD lui est-il applicable bien qu’il s’agisse d’une entreprise américaine ? A la lecture de l’article 3 du RGPD, ses dispositions peuvent s’appliquer lorsque le responsable de traitement ou le sous-traitant n’est pas établi sur le territoire de l’Union européenne à condition que (cumulativement):
- le traitement de données à caractère personnel concerné des personnes qui se trouvent sur le territoire de l’Union européenne ;
- les activités de traitement soient liées “à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes”.
Pour le GPDP (Garante per la protezione dei dati personali, équivalent italien de la CNIL), il semble que la réponse soit évidente, celle-ci ayant décidé de suspendre en appliquant la législation européenne. En France, la position de la CNIL est plus ambiguë. Dans une délibération du 20 décembre 2022, elle avait considéré que ce critère n’était pas rempli dès lors que les personnes dont les données étaient traitées n’utilisaient par le service. Si l’on transpose cette décision au traitement réalisé dans le cadre de GPT-4, le RGPD ne trouve à s’appliquer que quand les données à caractère personnel concernent l’utilisateur lui-même. Or des données de personnes n’utilisant pas l’application peuvent être traitées. C’est le cas des données que ChatGPT collecte sur internet pour améliorer ses modèles d’apprentissage de l’algorithme ; ou encore lorsqu’un utilisateur entre les données d’autres personnes au sein du chat.
Au-delà de la question des dangers de l’intelligence artificielle en tant que telle, ChatGPT interroge quant aux mesures prises pour protéger les données personnelles qu’il traite. Si la solution n’est pas forcément de limiter le recours à ChatGPT, il convient de se poser ces questions pour utiliser l’outil en pleine conscience.
FR 
EN