Si vous demandez à ChatGPT ce qu’il fait des données personnelles que quelqu’un apporte dans la conversation, il répond : « En tant que modèle linguistique développé par OpenAI, je n’ai pas la possibilité de traiter, de stocker ou d’utiliser les informations personnelles des utilisateurs, sauf si elles me sont fournies au cours d’une conversation individuelle. » Cependant, OpenAI – la société propriétaire de ChatGPT – peut utiliser ces informations dans certains cas, conformément à la politique de confidentialité de la société.
Cela vaut pour certains types de données et pour certains cas. Il doit s’agir de données de compte OpenAI, telles que le nom de l’utilisateur ou les informations relatives à sa carte de paiement, d’informations personnelles que l’utilisateur échange avec ChatGPT ou l’entreprise, d’informations de l’utilisateur lorsqu’il interagit avec les comptes OpenAI sur les réseaux sociaux, tels que Instagram, Facebook, Medium, X, YouTube et LinkedIn, ou de données que l’utilisateur fournit à l’entreprise dans le cadre de ses enquêtes ou de ses événements. Grâce à ces informations, l’OpenAI peut améliorer ses produits et services, créer de nouveaux développements, mener des recherches, établir une communication directe avec les utilisateurs, se conformer à ses obligations légales et prévenir la fraude, l’utilisation abusive du service et les activités criminelles.
Cette question délicate ne concerne pas seulement la nouvelle IA générative. L’envoi d’un courriel à un ami via Gmail, ou le partage de photos ou de documents dans des espaces en nuage tels que OneDrive, sont des actes quotidiens qui autorisent les fournisseurs de ces services à partager des informations avec des tiers. Des entreprises telles que OpenAI, Microsoft et Google peuvent divulguer des informations à des fournisseurs de services pour répondre à leurs besoins commerciaux, comme indiqué dans leurs politiques de confidentialité.
Toutefois, à quelques exceptions près, les entreprises ne peuvent pas utiliser les données personnelles à d’autres fins. Ricard Martínez, professeur de droit constitutionnel à l’université de Valence en Espagne, souligne que, dans l’Union européenne, cette pratique est strictement interdite par le règlement général sur la protection des données (RGPD) : « Ils s’exposeraient à un risque réglementaire élevé. L’entreprise pourrait être sanctionnée par une amende équivalente à 4 % de son chiffre d’affaires annuel global ». Selon Martínez, les données ne peuvent être utilisées qu’à des fins d’intérêt public admises par la réglementation, telles que l’archivage ou la recherche historique, statistique ou scientifique, ou si un test de compatibilité est réussi.
L’intelligence artificielle générative, telle que ChatGPT, s’appuie sur un grand volume de données, parfois personnelles, et génère un contenu original à partir de ces informations. Elle analyse les informations collectées, répond aux demandes des utilisateurs et améliore son service, bien que l’outil « ne comprenne pas les documents qu’on lui donne », prévient Borja Adsuara, avocat expert en droit numérique.
Recommandation : soyez très discret avec les chatbots
L’Agence espagnole de protection des données (AEPD) recommande aux utilisateurs de refuser le chatbot s’il demande des données d’enregistrement qui ne sont pas nécessaires, s’il demande le consentement sans définir à quelles fins les données seront traitées et sans permettre de le retirer à tout moment, ou s’il transfère des données vers des pays qui n’offrent pas de garanties suffisantes. Elle recommande également aux utilisateurs de limiter la quantité de données personnelles qu’ils fournissent ou qu’ils ne fournissent pas directement s’il existe un risque de transfert international de ces données. « Il n’y a aucune garantie que les informations fournies par le chatbot soient correctes », ajoute l’AEPD, qui met en garde contre le risque de « dommages émotionnels, de désinformation ou de tromperie ».
Les experts sont d’accord avec le conseil de l’AEPD : ne partagez pas d’informations personnelles avec l’outil d’intelligence artificielle. Le ChatGPT lui-même met en garde : « Veuillez noter que si vous partagez des informations personnelles, sensibles ou confidentielles au cours de la conversation, vous devez faire preuve de prudence. Il est recommandé de ne pas fournir d’informations sensibles par l’intermédiaire de plateformes en ligne, même dans des conversations avec des modèles linguistiques comme moi. »
Supprimer les données personnelles
Si, malgré ces recommandations, un utilisateur a déjà partagé ses données personnelles avec un système d’intelligence artificielle, il est possible d’essayer de les supprimer. Le site web de l’OpenAI propose un formulaire de demande de suppression des données personnelles. La mauvaise nouvelle, c’est que l’entreprise prévient que « soumettre une demande ne garantit pas que les informations vous concernant seront supprimées des sorties de ChatGPT ». Le formulaire doit être rempli avec des « réponses complètes, précises et pertinentes », et l’utilisateur doit accepter une série de déclarations sous serment. En outre, les informations fournies dans le document peuvent être recoupées avec d’autres sources pour en vérifier la véracité. Microsoft propose également un panneau de confidentialité permettant d’accéder aux données personnelles et de les supprimer.
M. Martínez explique que l’utilisateur peut exercer son droit à l’effacement de ses données personnelles « s’il estime qu’elles ont été traitées de manière illicite, incorrecte et inadéquate ». Il explique : « Vous pouvez vous désinscrire, retirer votre consentement, qui est gratuit et non soumis à des conditions, et l’entreprise est obligée de supprimer toutes les informations. » Le spécialiste souligne également le droit à la portabilité des données : « De plus en plus d’applications permettent à l’utilisateur de télécharger tout son historique et de l’emporter avec lui dans un format compatible. Le règlement recommande également l’anonymisation des données personnelles. »
L’anonymisation, selon l’AEPD, consiste à convertir des données personnelles en données qui ne peuvent pas être utilisées pour identifier une personne spécifique. Dans ses lignes directrices sur la gestion de l’intelligence artificielle, l’agence explique que l’anonymisation est l’une des techniques permettant de minimiser l’utilisation des données, en veillant à ce que seules les données nécessaires à l’objectif fixé soient utilisées.
Nouvelle loi sur l’intelligence artificielle
Après l’entrée en vigueur de la nouvelle loi européenne sur l’intelligence artificielle, les entreprises qui gèrent des données personnelles devront tenir compte de trois points essentiels. Selon le cabinet de conseil Entelgy, elles devront divulguer le fonctionnement de l’algorithme et le contenu qu’il génère dans un registre européen, mettre en place des mécanismes de supervision humaine (bien que cela soit recommandé et non obligatoire) et, enfin, s’assurer que les grands modèles de langage (LLM) disposent de systèmes de sécurité et que les développeurs sont transparents quant au matériel protégé par des droits d’auteur qu’ils utilisent.
La nouvelle loi n’est toutefois pas incompatible avec le règlement général sur la protection des données. Comme l’explique M. Martínez : « L’IA qui traite des données personnelles ou qui en génère à l’avenir ne pourra jamais être commercialisée si elle ne garantit pas la conformité au GDPR. Cela est particulièrement évident pour les systèmes à haut risque, qui doivent mettre en œuvre un modèle de gouvernance des données, ainsi que des registres d’exploitation et d’utilisation qui garantissent la traçabilité. »
Selon M. Adsuara, la prochaine étape de l’intelligence artificielle consistera à utiliser les informations personnelles collectées dans une sorte de pool personnel : « Un endroit où chacun a son dépôt de documents contenant des données personnelles, mais où les informations ne sortent pas. En d’autres termes, elles ne sont pas utilisées pour alimenter l’intelligence artificielle générative universelle », explique-t-il.