ChatGPT est-il conforme au RGDP ? Le GPDP (Garante Per la Protezione dei Dati Personali) en doute fortement au point d’annoncer dans un communiqué le blocage provisoire du traitement des données des utilisateurs italiens à l'encontre d'OpenAI, éditeur américain du fameux chatbot. L’organisme a par ailleurs lancé une enquête.

Le régulateur pointe du doigt plusieurs éléments qui seraient non conformes au RGPD. En premier lieu, le manque d'information des utilisateurs et de toutes les parties intéressées dont les données sont collectées par OpenAI. Il observe par ailleurs « l'absence de base légale justifiant la collecte et le stockage massifs de données personnelles dans le but d' « entraîner » les algorithmes qui sous-tendent le fonctionnement de la plateforme ». De même, l'autorité transalpine considère que ChatGPT s'adresse à des personnes âgées de plus de 13 ans, mais n’a pas mis en place de filtre pour vérifier l’âge des utilisateurs. Elle a donné 20 jours à la représentation d’OpenAI en Europe pour cesser les manquements sous peine de se voir infliger une amende de « 20 millions d’euros ou jusqu’à 4 % de son chiffre d’affaires annuel ». Il sera intéressant de voir la réponse de la firme américaine à ces requêtes.

La FTC saisie

Hier, c’est la FTC (Federal Trade Commission) aux Etats-Unis qui a été saisie d’une plainte par le Center for AI and Digital Policy (CAIDP), un groupe spécialisé dans l’éthique de l’IA. Dans le viseur de l’association présidée par un des signataires de l’appel des personnalités et des universitaires à faire une pause dans l’IA générative, GPT-4 d’OpenAI, qui a été présenté ce mois-ci. Ce modèle « pourrait notamment produire des codes malveillants et de la propagande hautement personnalisée, et des données d'entraînement biaisées pourraient donner lieu à des stéréotypes intégrés ou à des préférences injustes en matière de race et de sexe dans des domaines tels que l'embauche », peut-on lire dans la lettre de saisine.

Tout comme la Cnil italienne, l’association met en exergue le bug de mise en cache survenu la semaine dernière dans une bibliothèque open source nommé redis py. Celui-ci a exposé à certains utilisateurs actifs les quatre derniers chiffres et la date d'expiration de la carte de crédit d'un autre utilisateur, ainsi que son nom et son prénom, son adresse électronique et son adresse de paiement. Ils ont également pu voir des bribes de l'historique des chats des autres utilisateurs. OpenAI avait dû temporairement débrancher ChatGPT pour procéder à une mise à jour corrective. Le bug pose néanmoins la question de la protection des données personnelles.