Dans l'UE, le GDPR exige que les informations sur les individus soient exactes et qu'ils aient un accès complet aux informations stockées, ainsi que des informations sur la source. Cependant, il est surprenant de constater qu'OpenAI admet ouvertement qu'elle n'est pas en mesure de corriger les informations incorrectes sur ChatGPT. En outre, l'entreprise ne peut pas dire d'où proviennent les données ni quelles données ChatGPT stocke sur des personnes individuelles. L'entreprise est parfaitement consciente de ce problème, mais ne semble pas s'en préoccuper. Au lieu de cela, OpenAI se contente d'affirmer que "la précision des faits dans les grands modèles de langage reste un domaine de recherche actif". C'est pourquoi, noyb a déposé aujourd'hui une plainte contre OpenAI auprès de la DPA autrichienne.
ChatGPT continue d'halluciner - et même l'OpenAI ne peut l'arrêter. Le lancement de ChatGPT en novembre 2022 a déclenché un engouement sans précédent pour l'IA. Les gens ont commencé à utiliser le chatbot à toutes sortes de fins, y compris pour des tâches de recherche. Le problème est que, selon l'OpenAI elle-même, l'application ne fait que générer "des réponses aux demandes des utilisateurs en prédisant les prochains mots les plus probables qui pourraient apparaître en réponse à chaque demande". En d'autres termes : Bien que l'entreprise dispose de nombreuses données d'entraînement, il n'y a actuellement aucun moyen de garantir que ChatGPT montre aux utilisateurs des informations factuellement correctes. Au contraire, les outils d'IA générative sont connus pour "halluciner" régulièrement, ce qui signifie qu'ils inventent simplement des réponses.
C'est une bonne chose pour les devoirs, mais pas pour les données sur les individus. Si des informations inexactes peuvent être tolérées lorsqu'un élève utilise ChatGPT pour l'aider à faire ses devoirs, elles sont inacceptables lorsqu'il s'agit d'informations concernant des personnes. Depuis 1995, la législation européenne exige que les données à caractère personnel soient exactes. Actuellement, cette exigence est inscrite à l'article 5 du GDPR. Les personnes ont également un droit de rectification en vertu de l'article 16 du GDPR si les données sont inexactes, et peuvent demander que les informations erronées soient supprimées. En outre, en vertu du "droit d'accès" prévu à l'article 15, les entreprises doivent être en mesure de montrer quelles sont les données qu'elles détiennent sur les personnes et quelles en sont les sources.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb: "Inventer de fausses informations est déjà problématique en soi. Mais lorsqu'il s'agit de fausses informations sur des personnes, les conséquences peuvent être graves. Il est clair que les entreprises sont actuellement incapables de faire en sorte que les chatbots tels que ChatGPT soient conformes à la législation de l'UE lorsqu'ils traitent des données concernant des personnes. Si un système ne peut pas produire des résultats précis et transparents, il ne peut pas être utilisé pour générer des données sur des personnes. La technologie doit suivre les exigences légales, et non l'inverse"
Il n'est pas possible de se contenter d'inventer des données sur les personnes. Il s'agit d'un problème structurel. Selon un récent rapport du New York Times, "les chatbots inventent des informations au moins 3 % du temps - et jusqu'à 27 %". Pour illustrer ce problème, nous pouvons prendre l'exemple du plaignant (une personnalité publique) dans notre affaire contre OpenAI. Interrogé sur sa date d'anniversaire, ChatGPT a fourni à plusieurs reprises des informations incorrectes au lieu d'indiquer aux utilisateurs qu'il ne disposait pas des données nécessaires.
Aucun droit GDPR pour les individus capturés par ChatGPT ? Bien que la date de naissance du plaignant fournie par ChatGPT soit incorrecte, OpenAI a refusé sa demande de rectification ou d'effacement des données, arguant qu'il n'était pas possible de corriger les données. L'OpenAI affirme qu'elle peut filtrer ou bloquer des données sur certaines invites (comme le nom du plaignant), mais pas sans empêcher ChatGPT de filtrer toutes les informations concernant le plaignant. OpenAI n'a pas non plus répondu de manière adéquate à la demande d'accès du plaignant. Bien que le GDPR donne aux utilisateurs le droit de demander aux entreprises une copie de toutes les données personnelles traitées à leur sujet, OpenAI n'a divulgué aucune information sur les données traitées, leurs sources ou leurs destinataires.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb: "L'obligation de se conformer aux demandes d'accès s'applique à toutes les entreprises. Il est clairement possible de conserver des traces des données de formation qui ont été utilisées, ou au moins d'avoir une idée des sources d'information. Il semble qu'à chaque 'innovation', un autre groupe d'entreprises pense que ses produits ne doivent pas être conformes à la loi."
Jusqu'à présent, les efforts des autorités de contrôle sont restés vains. Depuis la popularité soudaine de ChatGPT, les outils d'IA générative ont rapidement fait l'objet d'un examen minutieux de la part des organismes européens de protection de la vie privée. L'autorité italienne de protection des données s'est notamment penchée sur l'inexactitude du chatbot en imposant une restriction temporaire du traitement des données en mars 2023. Quelques semaines plus tard, le Comité européen de la protection des données (CEPD) a mis en place un groupe de travail sur le ChatGPT afin de coordonner les efforts nationaux. Il reste à voir où cela mènera. Pour l'instant, OpenAI ne semble même pas prétendre pouvoir se conformer au GDPR de l'UE.
Plainte déposée. noyb demande maintenant à l'autorité autrichienne de protection des données (DSB) d'enquêter sur le traitement des données d'OpenAI et sur les mesures prises pour garantir l'exactitude des données personnelles traitées dans le cadre des grands modèles linguistiques de l'entreprise. En outre, nous demandons à l'ORD d'ordonner à OpenAI de se conformer à la demande d'accès du plaignant et de mettre son traitement en conformité avec le GDPR. Enfin, noyb demande à l'autorité d'imposer une amende pour garantir la conformité future. Il est probable que cette affaire soit traitée dans le cadre de la coopération européenne.
