L’autorité italienne de protection des données a établi les exigences que OpenAI doit respecter pour lever l’interdiction de ChatGPT émise le mois dernier. L’autorité soupçonnait le service de chatbot AI d’enfreindre le Règlement général sur la protection des données (RGPD) de l’UE et avait ordonné à l’entreprise américaine de cesser de traiter les données des résidents locaux.
Le RGPD de l’UE s’applique chaque fois que des données personnelles sont traitées, et il ne fait aucun doute que des modèles linguistiques importants tels que GPT d’OpenAI ont aspiré d’énormes quantités de données sur Internet pour entraîner leurs modèles d’IA génératifs à répondre de manière humaine aux incitations en langage naturel.
En réponse à l’ordonnance de l’autorité italienne de protection des données, OpenAI a rapidement bloqué l’accès à ChatGPT.
Dans une brève déclaration publique, le PDG d’OpenAI, Sam Altman, a également confirmé avoir cessé d’offrir le service en Italie, ajoutant qu’ils pensaient « suivre toutes les lois sur la protection de la vie privée ».
Cependant, l’autorité italienne Garante semble avoir une opinion différente. Voici la version courte des nouvelles exigences de conformité du régulateur :
- OpenAI devra publier un avis d’information détaillant son traitement des données.
- Il doit adopter immédiatement un contrôle d’âge pour empêcher les mineurs d’accéder à la technologie et passer à des mesures de vérification d’âge plus robustes.
- Il doit préciser la base légale qu’il revendique pour traiter les données des personnes dans le cadre de la formation de son IA (et ne peut pas se fier à l’exécution d’un contrat, ce qui signifie qu’il doit choisir entre le consentement ou les intérêts légitimes).
- Il doit également fournir des moyens pour les utilisateurs (et les non-utilisateurs) d’exercer leurs droits sur leurs données personnelles, y compris demander des corrections de désinformation générée par ChatGPT (ou demander la suppression de leurs données).
- Il doit offrir aux utilisateurs la possibilité de s’opposer au traitement de leurs données par OpenAI pour la formation de ses algorithmes.
- Enfin, il doit mener une campagne de sensibilisation locale pour informer les Italiens qu’il traite leurs informations pour former ses IA.
Le régulateur a donné à OpenAI un délai, jusqu’au 30 avril, pour réaliser la plupart de ces actions.
La campagne de sensibilisation locale dispose d’un délai légèrement plus généreux, jusqu’au 15 mai, pour être mise en œuvre.
OpenAI dispose également de plus de temps pour passer du contrôle d’âge immédiatement requis (mais faible) à un système de vérification d’âge plus difficile à contourner. OpenAI a jusqu’au 31 mai pour soumettre un plan de mise en œuvre de la technologie de vérification d’âge pour filtrer les utilisateurs de moins de 13 ans (et les utilisateurs âgés de 13 à 18 ans n’ayant pas obtenu le consentement parental), avec une échéance pour la mise en place de ce système plus robuste fixée au 30 septembre.
Dans un communiqué de presse détaillant les exigences pour lever la suspension temporaire de ChatGPT, ordonnée il y a deux semaines lorsque le régulateur a annoncé l’ouverture d’une enquête formelle sur les violations présumées du RGPD, il écrit :
OpenAI devra se conformer d’ici le 30 avril aux mesures énoncées par l’autorité de surveillance italienne concernant la transparence, les droits des personnes concernées (y compris les utilisateurs et les non-utilisateurs) et la base légale du traitement des données des utilisateurs pour la formation algorithmique. Ce n’est que dans ce cas que l’autorité italienne lèvera son ordre de limitation temporaire du traitement des données des utilisateurs italiens, permettant à ChatGPT d’être à nouveau disponible en Italie.
Pour chaque mesure concrète exigée, l’autorité stipule que l’avis d’information doit décrire « les dispositions et la logique du traitement des données nécessaires au fonctionnement de ChatGPT, ainsi que les droits accordés aux personnes concernées (utilisateurs et non-utilisateurs) ». Cet avis devra être facilement accessible et placé de manière à être lu avant de s’inscrire au service.
Les utilisateurs italiens doivent recevoir cet avis avant de s’inscrire et confirmer qu’ils ont plus de 18 ans.
Les utilisateurs qui se sont inscrits avant l’ordonnance de l’autorité devront également voir cet avis lorsqu’ils accéderont au service réactivé et devront passer par un contrôle d’âge pour filtrer les utilisateurs mineurs.
Concernant la base légale du traitement des données des personnes pour la formation de ses algorithmes, le Garante a réduit les options disponibles à deux : le consentement ou les intérêts légitimes. Il stipule qu’il doit immédiatement supprimer toutes les références à l’exécution d’un contrat, conformément au principe de responsabilité du RGPD.
Nous avons contacté OpenAI pour obtenir une réponse, mais l’entreprise n’avait pas répondu à notre e-mail au moment de la publication.
Enfin,
OpenAI a reçu des délais pour se conformer aux exigences du régulateur italien en matière de protection des données. Si l’entreprise parvient à respecter ces exigences, l’interdiction temporaire de ChatGPT en Italie pourra être levée, permettant à nouveau l’accès au service dans le pays. Cependant, l’enquête formelle sur les violations présumées du RGPD se poursuit et pourrait amener le régulateur à prendre des mesures supplémentaires ou différentes si nécessaire.