ChatGPT interdit en Italie : l’autorité fait le buzz mais a-t-elle raison ?

L’autorité italienne sort le bazooka : elle interdit ChatGPT sur le territoire italien. Si le but est de faire le buzz, c’est réussi. Si l’objectif est de faire du droit, c’est moins convaincant. Pauvre sur le plan de la motivation et rendue dans l’urgence, la décision manque de profondeur et passe largement à côté des enjeux fondamentaux de l’IA en lien avec le RGPD.

La décision rendue

Voici la traduction (avec l’aimable concours de ChatGPT) de la décision du 30 mars 2023 :

NOTÉ, suite à une vérification effectuée à cet égard, qu’aucune information n’est fournie aux utilisateurs, ni aux personnes concernées dont les données ont été collectées par OpenAI, L.L.C. et traitées par le biais du service ChatGPT ;

NOTÉ l’absence de base juridique adéquate concernant la collecte des données personnelles et leur traitement aux fins de la formation des algorithmes sous-jacents au fonctionnement de ChatGPT ;

NOTÉ que le traitement des données personnelles des personnes concernées est inexact car les informations fournies par ChatGPT ne correspondent pas toujours à la réalité ;

NOTÉ, en outre, l’absence de toute vérification de l’âge des utilisateurs en relation avec le service ChatGPT, qui, selon les termes publiés par OpenAI L.L.C., est réservé aux personnes âgées d’au moins 13 ans ;

CONSIDÉRANT que l’absence de filtres pour les mineurs de moins de 13 ans les expose à des réponses absolument inappropriées par rapport à leur niveau de développement et de conscience de soi ;

ESTIMANT par conséquent que, dans la situation décrite ci-dessus, le traitement des données personnelles des utilisateurs, y compris les mineurs, et des personnes concernées dont les données sont utilisées par le service viole les articles 5, 6, 8, 13 et 25 du Règlement ;

CONSTATANT, par conséquent, la nécessité de disposer, en vertu de l’article 58, paragraphe 2, lettre f), du Règlement – en urgence et dans l’attente de l’achèvement de l’enquête nécessaire sur ce qui est ressorti jusqu’à présent à l’égard d’OpenAI L.L.C., société américaine développeuse et gestionnaire de ChatGPT, de la mesure de limitation provisoire du traitement ;

ESTIMANT que, en l’absence de tout mécanisme de vérification de l’âge des utilisateurs, ainsi que, en tout état de cause, de l’ensemble des violations constatées, cette limitation provisoire doit s’étendre à toutes les données personnelles des personnes concernées établies sur le territoire italien ;

ESTIMANT nécessaire d’imposer ladite limitation avec effet immédiat à compter de la date de réception du présent acte, en se réservant toute autre décision à l’issue de la clôture de l’enquête ouverte sur le cas ;

RAPPELANT que, en cas de non-respect de la mesure imposée par le garant, l’article 170 du Code pénal et les sanctions administratives prévues par l’article 83, paragraphe 5, lettre e), du Règlement s’appliquent ;

ESTIMANT, sur la base de ce qui est décrit ci-dessus, que les conditions requises pour l’application de l’article 5, paragraphe 8, du règlement n° 1/2000 sur l’organisation et le fonctionnement du bureau du garant sont réunies, lequel prévoit que « Dans les cas d’urgence particulière et d’urgence qui ne permettent pas la convocation en temps utile du garant, le président peut adopter les mesures relevant de la compétence de l’organe, lesquelles cessent d’avoir effet dès leur adoption si elles ne sont pas ratifiées par le garant lors de la première réunion utile, à convoquer dans un délai maximum de trente jours » ;

VU la documentation en actes ;

EN CONSIDÉRATION DE CE QUI PRÉCÈDE, LE GARANT :

a) en vertu de l’article 58, paragraphe 2, lettre f), du Règlement, ordonne, en urgence, à OpenAI L.L.C., société américaine développeuse et gestionnaire de ChatGPT, en tant que responsable du traitement des données personnelles effectué par le biais de cette application, la mesure de limitation provisoire du traitement des données personnelles des personnes concernées établies sur le territoire italien ;

b) ladite limitation prend effet immédiatement à compter de la date de réception du présent acte, sous réserve de toute autre décision à la suite de la clôture de l’enquête ouverte sur le cas.

Le Garant, en vertu de l’article 58, paragraphe 1, du Règlement (UE) 2016/679, invite également le responsable du traitement destinataire de la décision, dans les 20 jours suivant la date de réception de celle-ci, à communiquer les initiatives prises pour mettre en œuvre les dispositions prescrites et à fournir tout élément jugé utile pour justifier les violations susmentionnées. Il est rappelé que le défaut de réponse à la demande en vertu de l’article 58 est puni par la sanction administrative prévue à l’article 83, paragraphe 5, lettre e), du Règlement (UE) 2016/679. (…)

Les mineurs oubliés par ChatGPT ?

Il n’y a dans la motivation de la décision rendue dans l’urgence, qu’un seul élément qui semble plus ou moins indiscutable : l’absence de mesure spécifique concernant les mineurs.

Pour autant, cela justifie-t-il une mesure aussi radicale que l’interdiction ?

Les mineurs sont visés à plusieurs endroits dans le RGPD en raison des besoins spécifiques de protection. Pour autant et contrairement à certains commentaires mal avisés, il serait faux de croire que « mineurs = traitement illicite ». Les écoles, les autorités, les mouvements de jeunesse, les centres culturels, l’Etat, les services de santé, … traitent les données de mineurs quotidiennement sans souci.

En réalité, le fait que la personne concernée soit mineur est un paramètre à prendre en compte, et pas une interdiction absolue.

Exemple : lorsque c’est l’intérêt légitime qui est en jeu, l’article 6.1.f) exige de prendre en compte « les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».

Autre exemple : l’article 8 relatif au consentement des enfants qui ressemble comme deux gouttes d’eau à une interdiction lorsque le mineur a moins de 16 ans. Pourtant, cette disposition :

  • Ne vise que « l’offre directe » de services de la société de l’information aux enfants ;
  • Ne s’applique par définition qu’à l’hypothèse du « consentement » ;
  • A pour but de modaliser le recueil du consentement en fonction de l’âge et non de l’exclure ;
  • Prône une approche pragmatique puisque le responsable du traitement « s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».

On se gardera donc de faire le moindre parallèle avec les dispositions spécifiques dans certains secteurs, tel l’accès des mineurs aux sites pour adultes.

Certes, le Garant n’a pas totalement tort quand il exprime une inquiétude : « l’absence de filtres pour les mineurs de moins de 13 ans les expose à des réponses absolument inappropriées par rapport à leur niveau de développement et de conscience de soi ». Mais à nouveau, cela suffit-il à justifier une interdiction ? Le Garant va-t-il prendre la même mesure à l’égard de chaines de télévision qui diffusent des choses stupides, choquantes et hypersexualisées quotidiennement ?

Fonder une interdiction en urgence sur la situation des enfants apparait donc, dans l’état actuel de la motivation, disproportionné. Or, la proportionnalité de la sanction est un principe général de droit et une des pierres angulaires des pouvoirs conférés aux autorités nationales par le RGPD.

L’absence de charte et d’informations ?

Dire qu’il n’y a aucune information donnée aux personnes concernées est une erreur.

Du reste, il y a une contradiction apparente à affirmer que « suite à une vérification effectuée à cet égard, qu’aucune information n’est fournie aux utilisateurs, ni aux personnes concernées (…) » pour écrire ensuite que « le traitement des données personnelles des personnes concernées est inexact car les informations fournies par ChatGPT ne correspondent pas toujours à la réalité ».

Certes, l’accessibilité et la lisibilité peuvent être améliorées, et les informations devraient être fournies dans différentes versions linguistiques, mais on en revient au principe de proportionnalité.

L’absence de base de licéité

C’est le grief le plus intéressant, et le seul qui pourrait justifier une interdiction pure et simple car s’il n’y a pas de base de licéité, le traitement est tout bonnement illicite.

L’autorité italienne insiste dans son communiqué : « le Garant de la protection de la vie privée constate le manque d’information des utilisateurs et de toutes les parties intéressées dont les données sont collectées par OpenAI, mais surtout l’absence de base légale justifiant la collecte et le stockage massifs de données personnelles dans le but d' »entraîner » les algorithmes qui sous-tendent le fonctionnement de la plateforme » (nous mettons en gras).

Cette phrase est au cœur d’un débat très actuel et pose une question fondamentale : définir l’IA.

L’automatisation est en substance l’utilisation de la machine pour répéter un comportement sans intervention humaine. Une barrière automatisée est un exemple : si le code est correct, la barrière se lève.

La programmation quant à elle applique une instruction définie (traitement) à une donnée (input) et fournit un résultat (output). La machine à calculer ou le logiciel de traitement de texte sont des exemples.

Le machine learning, qui s’est développé après la guerre, a marqué le début de la capacité d’apprentissage des systèmes. La machine reconnait des récurrences qu’elle est capable d’interpréter pour s’améliorer. Par exemple, un logiciel de reconnaissance vocale va, grâce au contexte, identifier des occurrences phonétiques et il arrivera, à force de répétition, à les interpréter ; au bout du compte il arrivera à faire seul la différence entre « un chalet » et « un chat laid ». Le machine learning a besoin de données structurées (il connait les mots « un », « chat », « laid » et « chalet » qu’on a chargés en machine et il est capable de leur appliquer des règles de grammaire et d’orthographe spécifiques).

Le machine learning poursuit un objectif : l’apprentissage autonome.

Le deep Learning poursuit le même objectif, mais en utilisant une approche différente dite « neuronale » car elle est inspirée du fonctionnement du cerveau humain. Le système n’a besoin ni de données structurées, ni d’instruction définie : il arrive à pondérer lui-même les résultats de sa propre expérience pour modifier son propre comportement. Il fonctionne comme un nouveau-né qui arrive dans un monde non structuré avec pour seule arme son tissu cérébral : plus il y a d’interactions et de stimuli, plus il apprend.

On le perçoit : à l’instar de l’enfant qui apprend, le deep learning a besoin de deux choses :

  • une très forte puissance de calcul, et
  • beaucoup de stimuli qui sont : d’une part les données brutes non-structurées chargées en mémoire, et d’autre part le retour d’utilisation de ces données.

Quel rapport avec la décision de l’autorité italienne ?

Tout simple …

L’une des bases de licéité du traitement porte sur « le traitement qui est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (…) ».

Si l’on veut bien admettre que l’objectif même de l’utilisation de ChatGPT est de bénéficier des avantages que procure le deep learning sur lequel il est fondé, la réutilisation des données « dans le but d’entrainer les algorithmes qui sous-tendent le fonctionnement de la plateforme » pourrait bien être « nécessaire » à l’exécution du contrat d’utilisation.

Alors, certes, tout ceci est de l’ordre de la réflexion et OpenAI aurait pu faire un effort de transparence dans l’information fournie, mais il nous semble pour le moins hasardeux et léger d’affirmer sans nuance que la base de licéité manque à ce point qu’elle justifie une mesure aussi radicale prise dans le cadre d’une procédure en urgence.

Que ChatGPT pose des questions fondamentales de société est une évidence. Qu’il nécessité une réflexion urgente est tout aussi évident. Qu’il soit potentiellement très dangereux et susceptible d’utilisations malveillantes relève encore du truisme. Avec cette IA, le monde a ouvert une boite de Pandore dont on ne voit pas le fond. Tout cela est vrai.

Mais est-ce pour autant le rôle d’une autorité de protection des données de s’approprier ce débat, et de le faire au terme d’une procédure menée à la va-vite et sans la profondeur et la réflexion nécessaires ?

Source : Droit et technologies, actualités, mars 2023

Téléchargez l'annexe Chat-GPT’ Input and Output’s Ownership and License, Francois Wery, UCL Louvain​

Mots clés