L'étau réglementaire se resserre contre ChatGPT

Depuis le moratoire de six mois demandé par une partie du secteur de l’IA, et le blocage de ChatGPT décidé en Italie, les autorités du Canada, des États-Unis, de l’Allemagne et du Royaume-Uni se penchent sur l’agent conversationnel d’OpenAI.

La lettre ouverte demandant un moratoire de six mois et le blocage de ChatGPT en Italie sont-ils les deux premières pierres d’un mouvement, pour l’instant timide, de réglementation de l’IA ? Peut-être au vu des différentes actions qui sont menées depuis le 29 mars – date de la publication de la lettre et le 31 mars – date de la décision de la Garante, la Cnil italienne. Les autorités de plusieurs pays ont été saisies, pendant que d’autres se sont directement penchées sur ChatGPT, l’agent conversationnel le plus populaire du moment. Et preuve que les choses sont prises au sérieux, une rencontre a lieu ce mercredi 5 avril entre des représentants d’OpenAI et la Garante, rapporte Reuters. L’entreprise américaine a jusqu’au 19 avril pour expliquer quelles mesures elle a prise pour se conformer au RGPD, le règlement européen sur la protection des données personnelles.

Au Canada, une enquête ouverte sur OpenAI

Et OpenAI devrait affronter d’autres autorités dans les prochaines semaines, à commencer par le Commissariat à la protection de la vie privée du Canada (CPVP) qui vient d’ouvrir une enquête sur l’entreprise américaine. Cet organisme a été saisi d’une « plainte alléguant la collecte, l’utilisation et la divulgation de données personnelles sans autorisation », rapporte BetaKit, ce mercredi 5 avril. Le pays discute actuellement d’un projet de loi (le C-27) destiné à réglementer les systèmes d’IA à fort impact comme ChatGPT.

Aux États-Unis, la FTC saisie et Joe Biden inquiet

Mardi 4 avril, c’est Joe Biden en personne qui a évoqué les risques de l’IA, lors d’une réunion avec des conseillers. « Les entreprises de la tech doivent s’assurer que leurs produits sont sûrs », a estimé le Président des États-Unis, appelant à la mise ne place de « limites strictes » sur les données personnelles collectées.

Quelques jours plus tôt, c’est la Federal Trade Commission (FTC), l’équivalent de la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes aux États-Unis, qui a été saisie. Le 30 mars dernier, l’ONG Center for AI and Digital Policy (CADP) a déposé une plainte devant cette autorité en charge de la protection des consommateurs. L’association demande l’ouverture d’une enquête sur OpenAI et exige aussi de mettre fin à la diffusion de ChatGPT-4. La dernière version du chat conversationnel, disponible depuis le 14 mars dernier pour les abonnés de ChatGPT Plus, est considérée une « avancée majeure », capable de passer haut la main l’examen du barreau aux États-Unis.

Or OpenAI serait coupable de pratiques commerciales déloyales et trompeuses, estime l’ONG.  Le CADP explique qu’OpenAI a « diffusé un produit ChatGPT-4 (…) qui est biaisé, trompeur et qui constitue un risque pour la vie privée et la sécurité publique. Les résultats ne peuvent être ni prouvés ni reproduits. Aucune évaluation indépendante n’a été entreprise avant le déploiement », tacle l’association dans sa plainte. Elle demande aussi d’évaluer et de surveiller à l’avenir tous les systèmes d’IA qui seraient mis à la disposition du grand public. Et de mettre en place des garde-fous nécessaires pour protéger les consommateurs, les entreprises et le marché, plaide l’ONG.

La FTC avait déclaré, quelques mois plus tôt, que l’utilisation de l’IA devait être « transparente, explicable, équitable et empirique tout en favorisant la responsabilité ». Aucune de ces conditions n’est remplie, avance l’association. Pour l’instant, on ne sait pas si la plainte est recevable. Mais la FTC pourrait saisir l’occasion qui lui est donnée de réglementer le secteur et de poser des garde-fous protégeant les consommateurs.

Au Royaume-Uni, un avertissement lancé aux développeurs

Au Royaume-Uni aussi, l’organisme en charge de la protection des données personnelles (l’Information Commissioner’s Office ou ICO) a publié une déclaration à ce sujet. Le lundi 3 avril, l’ICO a rappelé une liste de points à vérifier à l’intention des développeurs. L’objet de son inquiétude, aussi soulevée par la Cnil italienne : l’utilisation par les entreprises technologiques de masses de données personnelles provenant d’Internet, collectées pour ensuite entraîner l’IA générative.

L’autorité a rappelé que les entreprises qui développent et utilisent des chatbots doivent toujours respecter la vie privée des internautes. La construction de systèmes d’intelligence artificielle générative n’y fait pas exception. Il doit donc y avoir une « base légale » pour le traitement des données personnelles, souligne l’ICO, qui peut être de différentes formes, à l’image d’un consentement explicite d’une personne à utiliser ses données, ou d’autres alternatives qui ne nécessitent pas de consentement, comme l’existence d’un « intérêt légitime ».

Dans l’UE, des concertations entre les différentes Cnil

Au sein de l’UE, les concertations entre les différentes Cnils vont bon train. En Allemagne, le commissaire fédéral à la protection des données, Ulrich Kelber, a expliqué lundi 3 avril dans les colonnes du Handelsblatt, qu’une « procédure similaire (à celle en cours en Italie, ndlr) était possible en Allemagne ». La Cnil allemande a demandé des « informations complémentaires » à son homologue italienne et compte transmettre un dossier dans les prochaines semaines au ministère compétent. Même topo en France et en Irlande, où les Cnil ont indiqué s’être rapprochées de leur homologue italienne. La Data Protection Commission irlandaise a expliqué qu’elle comptait se coordonner avec toutes les autorités de protection des données de l’UE sur cette question. Reste à savoir quel sera le résultat de cette coordination… et à quelle sauce sera mangée ChatGPT.

Source : Betakit