Gemini : Google conserve des « conversations » et les fait analyser par des humains

Google a annoncé la semaine dernière qu'elle rebaptisait son IA Bard du nom de Gemini. Mais les conditions d'utilisation précisent que derrière Gemini, Google stocke par défaut certaines « conversations » des utilisateurs pour les faire « lire, annoter et traiter » par des relecteurs humains.

Dans un billet de blog, le PDG de Google, Sundar Pichai, a annoncé jeudi 8 février le changement de nom de l'offre d'IA de l'entreprise : « Bard s'appellera désormais simplement Gemini »... comme la famille de grands modèles de langage développée par l'entreprise. Sundar Pichai voit Gemini comme un écosystème entier.

• Que sait-on de Gemini, le système d’IA de Google ?
• Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Cette offre d'IA générative se retrouve dans une nouvelle application du même nom pour Android, dans l'application Google pour iOS et dans les outils du groupe comme Workplace et Google Cloud. Comme ChatGPT, Gemini a sa version premium (Google l'appelle « Gemini Advanced ») qui permet d'utiliser le plus gros des modèles de langage de la famille Gemini, Ultra.

Mais comme souvent dans les outils numériques en ligne, c'est dans le « guide sur la confidentialité » de Gemini, mis à jour en même temps que la publication du billet de blog de Sundar Pichai, que se cachent les informations sur ce que Google fait des « conversations » entre les utilisateurs et son IA.

Des « conversations » lues par des relecteurs humains

Comme le souligne TechCrunch, ce guide sur la confidentialité de Gemini explique que « des réviseurs humains lisent, annotent et traitent vos conversations avec les applications Gemini ». Google donne comme raisons à ce traitement humain l'amélioration de la qualité de ses produits « tels que les modèles de machine learning génératifs qui alimentent les applications Gemini ».

L'entreprise promet qu'elle prend « les mesures adéquates pour protéger la confidentialité de vos données » dans ce traitement des données des utilisateurs de Gemini et, en exemple, explique qu'avant que ces « réviseurs » ne les lisent, les conversations sont « dissociées de votre compte Google ». Si cette mesure est indispensable pour anonymiser les données, elle n'est surement pas suffisante.

Google ne précise pas les autres mesures prises pour assurer l'anonymisation des données. Par contre, elle donne, dans ce guide, un conseil à ses utilisateurs, en gras : « veillez à ne pas fournir d'informations confidentielles dans vos conversations, ni de données que vous ne souhaiteriez pas qu'un réviseur puisse voir ou que Google puisse utiliser pour améliorer ses produits, services et technologies de machine learning », remettant la charge de la protection de leurs données sur les épaules de ses utilisateurs.

L'entreprise ne précise pas non plus si ces « réviseurs » sont des salariés direct de Google, si elle a confié la tâche de traitement des données de Gemini à des sous-traitants ou si elle pourra le faire dans le futur.

Des « conversations » conservées pendant trois ans

Dans ce guide, Google précise que l'entreprise se réserve le droit de garder ces « conversations » entre les utilisateurs et son IA pendant trois ans « au maximum », et qu'elles ne seront pas supprimées « lorsque vous effacez votre activité dans les applications Gemini ».

C'est d'ailleurs sans doute pour ça que l'entreprise parle ici de l'effacement de l'activité et non de la suppression de données. Google explique cette non-suppression des données par le fait qu'elles sont « conservées séparément et ne sont pas associées à votre compte Google ».

Même quand l'utilisateur a désactivé l'enregistrement de son activité dans Gemini, les « conversations » sont temporairement enregistrées, pendant au maximum trois jours, sans pour autant apparaitre dans la liste des « activités » visibles par l'utilisateur. Google explique que ce stockage lui permet d' « assurer le service et de traiter vos commentaires ».

Base juridique du contrat et du consentement en Europe

Le guide précise aussi qu'en Europe et là où le RGPD est en vigueur, le traitement des informations par Gemini se fait au départ notamment sur la base de l'exécution d'un contrat « afin de fournir et de gérer le service des applications Gemini que vous avez demandé conformément aux Conditions d'utilisation de Google et aux Conditions d'utilisation supplémentaires de l'IA générative ».

Google y précise également qu'elle peut traiter « vos informations Gemini afin de nous conformer à des obligations légales, réglementaires, judiciaires ou administratives (par exemple, si nous recevons une demande légale d'informations de la part d'une autorité administrative) ».

Enfin, l'entreprise planifie de passer par la demande de consentement lorsqu'elle ajoutera des nouveautés si celles-ci traitent « vos informations à des fins spécifiques ». Il faudra alors, pour l'utilisateur, choisir ou refuser l'acceptation d'un nouveau traitement de données et l'ajout d'une nouvelle fonctionnalité.