Open AI (ChatGPT) respecte-t-il la réglementation européenne ?

Depuis la diffusion massive de ChatGPT en Europe, les relations entre l’entreprise Open AI et l’Union Européenne sont difficiles.

Les défis initiaux

Dès le printemps 2023, l’Italie avait interdit l’usage de ChatGPT dans le pays. En cause, l’utilisation des données échangées avec l’IA conversationnelle qui ne respectait ni l’esprit ni les termes du règlement général sur la protection des données de l’UE (RGPD).

Les pressions de l’Europe

En parallèle, plusieurs Etats européens ainsi que la Commission Européenne ont mis la pression sur Open AI pour que l’entreprise californienne précise et clarifie l’usage des données et mettent en place de nouvelles fonctionnalités et protections plus alignées sur le RGPD européen.

Les réponses d’Open AI

Suite à cet épisode, Open AI a mis en place un mode confidentiel pour ChatGPT ainsi que de nouvelles conditions d’utilisations indiquant ne plus utiliser les données des clients de ses API GPT. Par ailleurs, après avoir ouvert des bureaux à Londres, la société s’est implantée en septembre à Dublin, justifiant d’un écosystème d’innovation favorable. Son antenne irlandaise sera dans quelques semaines responsable du traitement des données des Européens. Cela signifie que l’organisme qui sera en charge du contrôle sera l’«Irish Data Protection Commission », réputée moins réactive, moins stricte et moins pénalisante que des autorités de contrôle comme la CNIL en France. Le système fiscal avantageux en Irlande n’y est peut-être pas pour rien non plus.

La plainte en Pologne

Cet automne, une plainte a également été déposée en Pologne par le chercheur indépendant en cybersécurité Lukasz Olejnik. Il affirme que l’outil viole de nombreuses dispositions du règlement général sur la protection des données de l’UE. Il s’agit notamment de la base légale, de la transparence, de l’équité, des droits d’accès aux données et de la prise en compte du respect de la vie privée dès la conception.

En effet, la réglementation liée au RGPD se trouve percutée par l’arrivée de ChatGPT et des IA génératives. Si l’on se réfère par exemple à l’article 5 du RGPD, les données doivent être « collectées pour des finalités déterminées, explicites et légitimes ». Or, le principe de base des modèles IA à usage général est que la machine apprend par elle-même. Il semble donc difficile de connaître précisément la finalité de chaque opération demandée à celle-ci. L’affaire est toujours en cours d’instruction en Pologne, à suivre donc…

Les nouvelles conditions d’utilisation d’Open AI

Il faut toutefois noter qu’une nouvelle version des conditions d’utilisation d’Open AI a été mis à jour le 14 novembre 2023 pour une entrée en vigueur effective le 14 février 2024 en vue d’un meilleur respect du RGPD.

Les modifications sont notamment les suivantes :
 Précision sur le champ d’application géographique des conditions d’utilisation
 Mention d’OpenAI Ireland et OpenAI LLC comme entités fournissant les services en fonction du pays de résidence
 Section sur les conditions supplémentaires spécifiques à certains services ou fonctionnalités
 Plus de détails sur l’utilisation du contenu pour améliorer les services
 Mécanisme de délai de rétractation de 14 jours pour les consommateurs
 Clarification sur la résiliation par l’utilisateur et sur la notification en cas de résiliation par OpenAI
 Engagements d’OpenAI en termes de fourniture des services
 Limitation de responsabilité spécifique pour l’utilisation commerciale

L’accord provisoire sur la législation de l’IA en Europe

Ceci étant dit, une actualité majeure est intervenue en décembre : l’accord provisoire sur la législation de l’IA en Europe.

C’est un jalon clé dans la réglementation de l’intelligence artificielle, puisqu’il établit un cadre rigoureux pour assurer la conformité des systèmes d’IA aux normes de sécurité et de respect des droits fondamentaux. Il introduit un système de gouvernance renforcé au niveau de l’UE, précisant les responsabilités des acteurs de la chaîne de valeur de l’IA, et instaure des règles spécifiques pour les modèles d’IA à usage général et à haut risque. L’accord requiert une transparence accrue pour les systèmes d’IA à risque limité.

Des interdictions ciblées visent des pratiques spécifiques comme la manipulation comportementale et le moissonnage d’images faciales. La définition de l’IA s’aligne sur les standards de l’OCDE, délimitant clairement son
champ d’application. Cette législation, axée sur une approche par les risques, établit un précédent mondial, pouvant influencer les cadres réglementaires internationaux, tout en stimulant l’innovation et l’investissement dans le domaine de l’IA en Europe.

Reste que pour l’anecdote (ou pas), quand on demande à Chat GPT si Open AI respecte la réglementation européenne, voilà la réponse « Oui, OpenAI s’efforce de respecter la réglementation européenne sur la protection des données, y compris le Règlement Général sur la Protection des Données (RGPD). » Tout est dans le « s’efforce ».

L’Histoire ne fait donc que commencer… L’innovation a toujours précédé la réglementation. Gageons que l’UE ne soit pas une simple machine à créer des normes mais aussi un espace où l’on sait concurrencer les géants américains et chinois.

Des questions? Contactez Polaria dès aujourd’hui.