ChatGPT : Noyb porte plainte contre OpenAI pour son traitement des données personnelles
Noyb (non of your business), association européenne de défense de la vie privée des utilisateurs en ligne, connue pour différents procès menés contre Google et Meta, dépose une plainte contre OpenAI auprès de l'Autorité autrichienne de protection des données (DSB) ce lundi 29 avril. Défendant les intérêts d'une "personnalité publique" dont l'identité n'est pas révélée, l'association considère que ChatGPT enfreint plusieurs articles du Règlement général sur la protection des données (RGPD) en diffusant de "fausses informations sur les personnes".
Pour démontrer que ChatGPT fournit des données personnelles erronées, noyb a interrogé ChatGPT sur la date d'anniversaire du plaignant, ce à quoi le chatbot a répondu en fournissant "à plusieurs reprises des informations erronées au lieu d'indiquer qu'il ne disposait pas des données nécessaires" pour y répondre. L'association cite également un rapport du New York Times indiquant que les chatbots inventent des informations dans 3 à 27% des cas. "La société OpenAI elle-même explique que ChatGPT ne fait que générer 'des réponses aux demandes des utilisateurs en prédisant les prochains mots les plus probables qui pourraient apparaître en réponse à chaque demande'. En d'autres termes, bien que l'entreprise dispose de nombreuses données d'entraînement, il n'y a actuellement aucun moyen de garantir que ChatGPT montre aux utilisateurs des informations factuellement correctes. Au contraire, les outils d'IA générative sont connus pour 'halluciner' régulièrement, ce qui signifie qu'ils inventent simplement des réponses", indique noyb dans un communiqué.
"Notre plaignant n'a pu obtenir ni l'effacement ni la rectification de ses informations personnelles incorrectes"
En son article 5, le règlement européen exige que les données à caractère personnel soient exactes et que si jamais cela n'est pas le cas, toutes les mesures raisonnables soient prises pour les effacer ou les rectifier "sans tarder". Ce droit de rectification est également prévu dans l'article 16 du texte, le responsable du traitement devant s'en charger dans les meilleurs délais. "Or, il est surprenant de constater qu'OpenAI admet ouvertement ne pas être en mesure de corriger les informations incorrectes sur ChatGPT", déclare noyb.
Plus loin, l'article 15 du RGPD exige également que soit fournies, à toute personne le demandant, de nombreuses informations, dont les catégories de données personnelles traitées et la source de ces données, lorsque ces dernières ne sont pas collectées directement auprès de la personne concernée. Là encore, noyb argumente : "OpenAI ne peut pas dire d'où proviennent les données ni quelles données ChatGPT stocke sur des personnes individuelles. L'entreprise est parfaitement consciente de ce problème, mais ne semble pas s'en préoccuper. Au lieu de cela, OpenAI se contente d'affirmer que 'l'exactitude des faits dans les grands modèles de langage reste un domaine de recherche actif'."
Noyb considère que des informations inexactes concernant les données personnelles des personnes ne peuvent être tolérées. "Les entreprises sont actuellement incapables de faire en sorte que les chatbots tels que ChatGPT soient conformes à la législation de l'UE lorsqu'ils traitent des données concernant des personnes. Si un système ne peut pas produire des résultats précis et transparents, il ne peut être utilisé pour générer des données sur des personnes. La technologie doit suivre les exigences légales, et non l'inverse", écrit Maartje de Graaf, avocate chez noyb, spécialisée en protection des données.
Dans sa plainte, noyb demande à l'autorité autrichienne de protection des données d'ordonner à OpenAI de se conformer à la demande d'accès à ses données personnelles du plaignant et de mettre son traitement de données personnelles en conformité avec le RGPD. L'association demande également à l'autorité d'enquêter sur le traitement des données d'OpenAI et sur les mesures prises par l'entreprise pour garantir l'exactitude des données personnelles traitées dans le cadre de ses grands modèles linguistiques. Enfin, noyb demande à l'autorité d'imposer une amende à OpenAI pour garantir qu'il se conformera au règlement.
A noter que le Comité européen de la protection des données (CEPD) a créé il y a un an un groupe de travail spécifique pour rassembler les autorités européennes afin d'analyser la non-conformité de ChatGPT au RGPD. Une manière de coordonner les actions notamment après que l'Autorité italienne de protection des données a imposé des restrictions temporaires à ChatGPT en mars 2023. "Nous espérons que notre plainte déclenchera une coopération encore plus importante, car aucun résultat substantiel n'a été obtenu jusqu'à présent", précise au JDN Maartje de Graaf.
Et pour cause : non seulement le CEPD n'a plus donné de nouvelles publiquement depuis la création de cette task force. Et les mesures prises par OpenAI pour améliorer les processus de rectification de données sur ChatGPT et acceptées par l'Autorité italienne ne semblent avoir réglé le problème. "Ces améliorations sont superficielles, car notre plaignant n'a pu obtenir ni l'effacement ni la rectification de ses informations personnelles incorrectes", conclut l'avocate.