La Garante per la protezione dei dati personali (GPDP, l'équivalent de la CNIL en Italie) a déclaré, via un communiqué, qu'elle avait infligé une amende de 15 millions d'euros à OpenAI après avoir fini son enquête sur l'utilisation de données personnelles par ChatGPT.

L'autorité italienne de la protection des données personnelles explique avoir clos son enquête entamée en mars 2023. On se rappelle que l'autorité avait décidé de bloquer l'accès aux chatbot d'OpenAI aux utilisateurs italiens. Elle expliquait ne vouloir laisser « aucun moyen pour ChatGPT de continuer à traiter des données en violation des lois sur la protection de la vie privée ». La GPDP y rappelait que ChatGPT « a subi le 20 mars [2023] une fuite de données concernant les conversations des utilisateurs et des informations relatives au paiement des abonnés ».

Un mois après, la GPDP décidait de débloquer l'accès à ChatGPT après que l'entreprise se soit engagée sur plusieurs sujets. Notamment, OpenAI acceptait de laisser la possibilité aux utilisateurs de l'Union européenne de s'opposer à l'utilisation de leurs données personnelles pour l'entrainement de ses modèles de langage.

L'autorité italienne n'a pour autant pas abandonné le dossier. Elle a rappelé d'abord qu'OpenAI ne lui avait pas notifié la fuite de données subie en mars 2023.

Mais elle a aussi constaté qu'OpenAI avait traité les données à caractères personnels des utilisateurs pour entrainer le modèle utilisé dans son chatbot sans avoir préalablement identifié de base juridique sur laquelle s'appuyer pour ce traitement. L'autorité explique que l'entreprise a violé le principe de transparence et les obligations d'informations de ses utilisateurs.

L'entrainement des IA au même régime que les autres techniques face au RGPD

Concernant le traitement des données personnelles pour l'entrainement de l'IA d'OpenAI, la Garante semble avoir attendu avec impatience l'avis du Comité européen de la protection des données (CEPD) sur les modèles d’IA publié mercredi dernier. Dans son communiqué, l'autorité italienne explique que cet avis exprime une « approche commune » avec elle concernant le traitement des données personnelles dans le contexte de la conception, du développement et de la distribution de services fondés sur l'intelligence artificielle. Cet avis avait été demandé « par l'autorité irlandaise de protection des données (DPA) en vue d'une harmonisation réglementaire à l'échelle européenne », expliquait le CEPD.

L'avis du CEPD [PDF] explique notamment que, « lorsque des données sont extraites de l'internet accessible au public, elles peuvent également être considérées comme des données à caractère personnel ». Et pour être encore plus clair, le texte précise : « en d'autres termes, ce n'est pas parce que des données à caractère personnel sont rendues publiques qu'elles ne sont plus des données à caractère personnel ».

Dans une autre affaire à propos du ciblage publicitaire portée par Max Schrems, la CJUE avait d'ailleurs émis un avis du même ordre.

• Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Dans son document, le CEPD affirmait que le RGPD est « neutre sur le plan technologique », c'est-à-dire qu'il ne s'applique pas en fonction de la technique utilisée. « Le traitement lié à l'IA, bien que nouveau à certains égards, est de façon certaine couvert par le GDPR dès lors que des données à caractère personnel sont traitées », affirme-t-il.

Le responsable d'un traitement de données personnelles fait lors de l'entrainement d'une IA doit donc s'assurer d'avoir identifié la base juridique sur laquelle il s'appuie pour ce traitement.

Exposition des enfants de moins de 13 ans

L'autorité reproche aussi à OpenAI de ne pas avoir prévu de mécanisme de vérification d'âge et donc d'avoir risqué d'exposer des enfants de moins de 13 ans à des réponses inadaptées.

Outre l'amende infligée, la GPDP a obligé l'entreprise à réaliser une campagne de communication institutionnelle de six mois qui doit passer dans les médias italiens (radio, télévision, journaux et internet).

Enfin, l'autorité italienne explique maintenant laisser le dossier d'OpenAI à l'autorité irlandaise puisque l'entreprise a, entre temps, établi son siège à Dublin.