11/03/23

ChatGPT et la protection des données à caractère personnel.

ChatGPT , le chatbot développé par l’entreprise OpenAI est disponible depuis le 30 novembre 2022 et permet à n’importe qui de pouvoir poser des questions à une intelligence artificielle basée sur le deep learning (le traitement en masse de données pour augmenter la performance d'un algorithme et rendre un système de plus en plus intelligent et autonome).

Il est possible de demander à ChatGPT un simple renseignement mais également de rédiger une dissertation, d’écrire un code pour une nouvelle application ou de résoudre une équation. 

On peut donc présager dans un futur proche que cet outil et ceux qui s’en inspireront vont encore s’affiner et bouleverser notre manière de travailler. 

Au niveau de la protection des données à caractère personnel, la politique de CHatGPT est assez vague. On sait toutefois que les données des utilisateurs y compris l’adresse IP , le pays, l’adresse mail et les demandes (parfois sensibles) introduites dans le chat peuvent être réutilisées pour améliorer les services de ChatGPT.

On se doute également que pour fonctionner ChatGPT utilise des quantité gigantesques d’informations rendues publiques sur internet (mais pas forcément pour les finalités pour lesquelles elles ont étées rendues publique).

La question qui se pose est donc de savoir l’usage de ChatGPT  est réellement sans danger et conforme au niveau des règles protégeant les données à caractère personnel. 

Les informations « collectées » sur internet par chatgpt

L’IA nécessite un grand nombre de données pour fonctionner correctement.  (Big Data)

En pratique, OpenAI, la société derrière ChatGPT, a utilisé 300 milliards de mots scrapés (collectés) sur internet, y compris des informations personnelles obtenues sans consentement et information préalable des personnes concernées. 

Cependant, cette collecte massive de données peut conduire à des violations de la vie privée des utilisateurs de ChatGPT. 

En effet, les données mêmes rendues publiques si elles sont utilisées à des fins qui sont différentes à celles pour lesquelles elles sont rendues publique et sans en informer les personnes concernées et le cas échéant recueillir leur consentement violent un certain nombre d’obligations du RGPD.

Ces données peuvent par exemple servir (directement ou en les combinant avec d’autres) à créer des profils (revendus à des tiers) ou à nous localiser.

Ces pratiques sont donc potentiellement en violation du principe de transparence et loyauté des traitements, de limitation des finalités des traitements et rendent l’exercice des droits des personnes concernées (notamment le droit à l’oubli) a priori impossible à exercer.

Le traitement des données des utilisateurs par chat gpt

Le risque pour la vie privée concerne également les informations récoltées par  ChatGPT sous forme de prompt (instructions ou demandes introduites par les utilisateurs dans le chat).  

ChatGPT selon sa politique vie privée conserve et utilise toutes les demandes (et réponses) des utilisateurs afin de pouvoir faire des analyses et améliorer ses services.

Les réponses aux questions des utilisateurs ainsi que les dissertations produites par ChatGPT, deviennent alors partie intégrante de la base de données de ChatGPT et sont utilisées pour former davantage l’outil et être inclues dans les réponses à des sollicitations d’autres personnes. Ces données pourraient également permettre la création de profils d’utilisateurs, par exemple en fonction de leurs demandes.

Sans entrer dans le détail on peut déjà percevoir les dangers de cette pratique au niveau de la protection de la vie privée vu comment la finalité « amélioration des services » est vague et le fait que ChatGPT a également accès à notre mail, notre adresse IP et coordonnées qui peuvent être combinées à des demandes qui peuvent être parfois éminemment sensibles ou personnelles.

On pense par exemple à un avocat qui demande à ChatGPT de rédiger une convention de divorce, une personne souffrante qui a une demande relative à sa santé, un politicien qui révèle des opinions personnelles non compatibles avec sa fonction.

Il y a ici clairement des risques de traitements qui pourraient avoir un impact préjudiciables pour les personnes concernées qui violent le principe de traitement transparent et loyal et la possibilité pour les personnes d’exercer leurs droits.

L’avis de la CNIL sur le traitement des données sensibles par un chatbot

Les chatbots proposant souvent un mode d’écriture libre, ils peuvent être amenés à traiter des données sensibles directement fournies par l’utilisateur, sans que le responsable de traitement ou le sous-traitant ne l’ait anticipé.

Dans ce cas, les organismes ne sont pas tenus de recueillir le consentement préalable des utilisateurs. Ils devront cependant mettre en place des mécanismes permettant de minimiser les risques pour les droits et libertés des personnes :

  • en communiquant, avant toute utilisation du chatbot, une mise en garde invitant les personnes à s’abstenir de communiquer des données sensibles ;
  • en mettant en place un système de purge, immédiat ou au moins régulier, car la conservation de ces données sensibles n’est pas pertinente.

Dans le cas de ChatGPT on peut se demander si on ne peut pas anticiper que les utilisateurs vont inclure des données sensibles ce qui obligerait OpenAI à devoir justifier ce type de traitements sur base d’une exception de l’article 9.2 du RGPD.

Il existe bien une mise en garde des utilisateurs au sujet des données sensibles mais il est très probable qu’une telle mesure n’ait pas un effet déterminant en particulier sur un public jeune.

Conclusion

Il semble actuellement que l’impact de ChatGPT sur la vie privée n’a pas fait l’objet d’une analyse approfondie préalable et présente certains risques.

Outre les grands principes devant être pris en compte pour tout traitement de données personnelles, le responsable de traitement devrait prêter une attention particulière aux enjeux pour les droits et libertés des personnes.

On remarque d’ores et déjà certains risques au niveau de la protection de la vie privée :

  • Il existe le risque que l’utilisation de ChatGPT  mène à des décisions sans intervention humaine qui ont un impact important pour les personnes concernées.
  • L’information aux personnes concernées sur l’utilisation de leurs données est insuffisante et empêche celles-ci d’exercer leurs droits en connaissance de cause (notamment le droit à l’oubli) semble faire défaut.

On ne sait pas non plus si ChatGPT a pris certaines mesures préalables pour limiter ces risques notamment :
Mener une analyse d’impact (vu le volume de données et l’utilisation de nouvelles technologies). 

  • Limiter les traitements de données sensibles (par exemple les informations liées à la santé, aux opinions politiques, à la prétendue appartenance syndicale ou religieuse), dont le traitement est en principe interdit par le RGPD (article 9 du RGPD).
  • La prise en compte du cadre légal sur l’intelligence artificielle qui entrera bientôt en vigueur  (notamment la proposition de règlement 2021/0106 qui prévoit des obligation en matière de transparence, de test et d’évaluation des risques d’un produit utilisant l’intelligence artificielle avant sa mise sur le marché.

1 - https://openai.com/policies/privacy-policy 

2 -https://www.cnil.fr/fr/chatbots-les-conseils-de-la-cnil-pour-respecter-les-droits-des-personnes 

dotted_texture