Pour fonctionner, l'intelligence artificielle ChatGPT a été entraînée avec une masse de données récupérées sur Internet, sans contrôle sur les données personnelles ingérées lors du processus, sans compter celles transmises avec les requêtes, qui peuvent aller jusqu'à des données d'entreprise sensibles.
Ces données peuvent émerger lors de requêtes d'utilisateurs mais aussi être associées à d'autres et conduire à des erreurs, voire de la désinformation. Cette question de l'usage des données personnelles a conduit l'Italie à bloquer temporairement l'accès à ChatGPT en questionnant son respect du RGPD et en demandant à son créateur OpenAI des éclaircissements.
La CNIL ouvre une procédure de contrôle
En France, aucun blocage n'est prévu, même si la problématique du RGPD n'est pas tranchée. Le ministre délégué au Numérique Jean-Noël Barrot avait indiqué début avril vouloir mieux encadrer le fonctionnement de l'IA plutôt que de le bloquer, même temporairement.
Toutefois, la CNIL (Commission nationale de l'informatique et des libertés) a reçu plusieurs plaintes depuis le début du mois d'avril, ce qui la conduit désormais à ouvrir une procédure de contrôle.
L'une des cinq plaintes a été déposée par le député Renaissance Eric Bothorel concernant une infraction au RGPD alors que la demande d'informations personnelles le concernant générée via l'IA produit une réponse bourrée d'erreurs.
Un groupe de travail au niveau européen
Dans le même temps, le Comité européen de protection des données (EDPB en anglais) vient d'annoncer l'ouverture d'une task force (ou groupe de travail) qui va plancher sur la question de l'utilisation des données par les IA pour proposer un cadre commun applicable par toutes les instances nationales en Europe.
L'équivalent espagnol de la CNIL a déjà annoncé l'ouverture d'une enquête sur OpenAI pour un possible manquement au RGPD et d'autres organismes devraient suivre le mouvement, sachant que chaque Etat membre peut décider souverainement de bloquer ou non ChatGPT en fonction de sa position par rapport au RGPD, à défaut de disposer d'une structure européenne définissant une stratégie commune.