RGPD : ChatGPT viole les règles de protection des données, selon l'Italie

Le régulateur italien de la protection des données ( Garante per la protezione dei dati personali – GPDP ) a informé OpenAI que ChatGPT pourrait enfreindre les règles de l’UE en matière de protection des données.

#ChatGPT Following the temporary ban on processing imposed on #OpenAI on 30 March 2023, and based on the outcome of its fact-finding activity, the #GarantePrivacy concluded that the available evidence pointed to the existence of breaches of the EU GDPR https://t.co/ltxxLt3VBc 👇 pic.twitter.com/5rmhUfrvCN

— Garante Privacy (@GPDP_IT) January 29, 2024

Le GPDP indique qu'OpenAI dispose de 30 jours pour répondre sur les violations présumées, dont les détails n'ont pas été divulgués.

Le régulateur italien déclare prendre en compte les travaux en cours d’un groupe de travail spécial créé par le Comité européen de la protection des données de l’Union européenne, en avril 2023, pour surveiller ChatGPT.

Son avis appelé « avis d’objection », intervient après que le pays a temporairement suspendu ChatGPT en mars 2023, le premier pays occidental à le faire.

À l’époque, le GPDP avait évoqué des problèmes de confidentialité, notamment la collecte massive de données des utilisateurs pour entraîner l’algorithme du chatbot.

Le régulateur a également exprimé sa préoccupation quant au fait que les jeunes utilisateurs pourraient être exposés à un contenu inapproprié, car celui-ci ne comprend aucun mécanisme de vérification de l'âge.

ChatGPT enfreint-il les règles du RGPD ?

ChatGPT a été rétabli en Italie après environ quatre semaines, le GPDP affirmant qu'OpenAI avait « résolu ou clarifié » les problèmes qu'il avait soulevés.

À l’époque, le régulateur avait lancé une « activité d’enquête » qui a maintenant conclu que ChatGPT pourrait violer le règlement européen sur la protection des données RGPD.

Dans un communiqué , le GPDP  conclut « que les preuves disponibles indiquaient l'existence de violations des dispositions contenues dans le RGPD de l'UE ».

Le RGPD permet aux autorités d'infliger des amendes aux entreprises allant jusqu'à 4 % de leur chiffre d'affaires mondial.

En avril 2023, le  le GPDP souhaitait qu'OpenAI mette en œuvre un système de vérification de l'âge pour ChatGPT et que les Italiens soient mieux informés de leur droit de refuser que leurs données personnelles soient utilisées pour entraîner des algorithmes.

« Nous pensons que nos pratiques sont conformes au RGPD et à d'autres lois sur la confidentialité, et nous prenons des mesures supplémentaires pour protéger les données et la vie privée des personnes » , estime OpenAI.  Et de travailler « activement » à la réduction des données personnelles dans les systèmes de formation tels que ChatGPT, « qui rejette également les demandes d'informations privées ou sensibles sur les personnes ».

OpenAI indique  poursuivre  les négociations avec le GPDP.

Matthew Broersma, Silicon.co.uk