RGPD : les GAFAM rappelés à l’ordre pour leurs LLM

Clément Bohic,
Linkedin
LLM IA GAFAM CNIL irlandaise RGPD

Après avoir freiné Meta et X dans l’exploitation de données personnelles avec leurs LLM, la CNIL irlandaise s’intéresse à Google.

Google a-t-il bien respecté le RGPD lorsqu’il a développé son modèle de fondation PaLM 2 ?

La CNIL irlandaise (DPC, Data Protection Commission) vient d’ouvrir une enquête à ce propos. Dans son viseur, l’article 35 du règlement. Il impose la réalisation d’une analyse d’impact préalable aux traitements de données personnelles susceptibles de poser un risque important pour les droits et libertés des personnes concernées.

Les LLM apparaissent depuis quelques mois comme l’axe directeur des travaux de l’autorité. Récemment, elle a trouvé un accord avec X. Celui-ci a promis de ne plus entraîner son modèle Grok avec les données personnelles contenues dans les posts publics des utilisateurs localisés dans l’Espace économique européen (UE + Islande, Liechtenstein et Norvège). Un engagement pris après que la DPC eut sollicité la Haute Cour (tribunal de première instance) pour obtenir un ordre suspensif.

Meta également freiné dans ses ambitions

Auparavant, la CNIL irlandaise s’était félicitée de l’issue de ses discussions avec Meta. Lequel avait « mis en pause » ses ambitions d’entraîner des LLM avec du contenu public partagé sur Facebook et Instagram dans l’EEE.

Entre-temps, la DPC avait fait un « point RGPD » sur l’IA et la protection des données personnelles. Elle avait distingué divers risques associés aux phases de développement et d’usage. Parmi eux :

– Tendance à l’exploitation non nécessaire et/ou sans consentement de gros volumes de données personnelles lors de l’entraînement

– Éventuels problèmes liés à la précision ou à la conservation des données
Par exemple, lorsque des données en sortie d’un système d’IA sont utilisées dans un processus de prise de décision.

– Partage de modèles fondés sur des données personnelles avec des tiers aux finalités desquels on n’a pas consenti

– Biais découlant de données personnelles inexactes ou incomplètes

– Intégration de nouvelles données personnelles lors de l’ajustement (fine-tuning)

« Particuliers ou entreprises, ayez conscience de ce que vous utilisez, comment et quelles en sont les conséquences », résume la DPC. Et d’ajouter que par la simple utilisation d’un produit IA reposant sur des données personnelles, une organisation pourrait se trouver en position de responsable de traitement. Auquel cas elle aurait à envisager une analyse formelle de risque.

Illustration générée par IA