Comment ChatGPT utilise vos données à votre insu
Premier couac pour OpenAI. Ce vendredi 31 mars, l'Italie a interdit l'utilisation de ChatGPT sur son territoire. Les autorités transalpines reprochent au robot conversationnel de ne pas protéger les informations personnelles de ses utilisateurs. Cette décision "avec effet immédiat" aura pour conséquence "la limitation provisoire du traitement des données des utilisateurs italiens vis-à-vis d'OpenAI" a indiqué dans un communiqué le gendarme italien des données personnelles. Un épisode mi-mars a pu motiver cette décision : les historiques de conversations comprenant des numéros de téléphone et des adresses mail d'utilisateurs ont été rendus publics à d'autres internautes.
Un bug rapidement maîtrisé par OpenAI mais qui a interpellé Vladislav Tushkanov, data scientist chez Kaspersky, une entreprise de cybersécurité. "Considérez toute interaction avec le chatbot comme une conversation avec un parfait inconnu : vous ne savez pas où le contenu aboutira, alors abstenez-vous de révéler des informations personnelles ou sensibles." Pourtant, dès la première ligne de sa politique de confidentialité, OpenAI tente de rassurer ses utilisateurs : "Nous respectons votre vie privée et nous nous engageons fermement à protéger toute information que nous obtenons de vous ou à votre sujet". Mais l'entreprise fondée par Sam Altman tient-elle cette promesse ?
Tout d'abord, il convient de rappeler que pour créer la base de données de ChatGPT, OpenAI a alimenté son chatbot avec plus de 300 milliards de mots tirés sur Internet, dont, probablement, des informations personnelles recueillies sans consentement. Au passage, certaine des données récoltées sont soumises au droit d'auteur.
De plus, pour se créer un compte et utiliser ChatGPT, un internaute transmet un certain nombre d'informations personnelles : nom, prénom, coordonnées, adresse IP, système d'exploitation utilisé… Et ces informations peuvent être "fournies à des tiers sans préavis". Parmi ces tiers, la politique de confidentialité mentionne "des fournisseurs de service" qui peuvent accéder à ces données personnelles pour "répondre aux besoins d'opérations commerciales". Surtout, toutes les interactions qu'entretient un utilisateur avec l'IA entre dans sa base de données pour améliorer les performances de ChatGPT. En d'autres termes, les informations que vous transmettez dans la conversation peuvent servir de réponses aux prompts des autres utilisateurs.
Amazon met en garde ses employés
Toutefois, même si ChatGPT peut reprendre les informations transmises par les utilisateurs dans ses réponses, ces derniers restent anonymes. En revanche, la problématique est différente quand les données concernent des entreprises qui peuvent être identifiables sans qu'on les nomme directement. Ainsi, Amazon a mis en garde ses employés qui transmettaient des données confidentielles de la firme à ChatGPT. La raison : un avocat de l'entreprise s'est rendu compte que l'IA a généré des réponses basées sur certaines de ses données internes. Plus récemment, la mairie de Montpellier a interdit à ses agents l'utilisation de ChatGPT, faute de renseignements précis sur l'utilisation des données transmises au chatbot.
Enfin, l'IA générative d'OpenAI ne semble pas compatible avec le RGPD. La politique de confidentialité n'émet aucune mention au droit d'opposition, au droit à la limitation du traitement et au droit à la portabilité des données. En revanche, elle souligne que ChatGPT est conforme aux "California privacy rights", l'équivalent américain du RGPD qui précise aux utilisateurs quelles données ont été collectées et comment elles sont utilisées. Suffisant pour qu'OpenAI respecte sa promesse relative à la protection de la vie privée de ses utilisateurs ?