Le problème des « hallucinations » de ChatGPT a fait l'objet d'une autre plainte relative à la vie privée dans l'UE

Crédits images : Olivier Daulieri/AFP/Getty Images

OpenAI fait face à une autre plainte relative à la confidentialité dans l'Union européenne. Cette affaire, intentée par une organisation à but non lucratif soucieuse du droit à la vie privée noyb Au nom d'un plaignant individuel, il dénonce l'incapacité du chatbot ChatGPT, basé sur l'IA, à corriger les informations erronées qu'il génère sur les individus.

La tendance des outils GenAI à produire de fausses informations est bien documentée. Mais cela place également la technologie sur une trajectoire de collision avec le règlement général sur la protection des données (RGPD) du bloc, qui régit la manière dont les données personnelles des utilisateurs régionaux sont traitées.

Les pénalités en cas de non-respect du RGPD peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial total. Plus important encore pour un géant riche en ressources comme OpenAI : les régulateurs de la protection des données pourraient ordonner des changements dans la manière dont les informations sont traitées, de sorte que l'introduction du RGPD pourrait remodeler le fonctionnement des outils d'IA générative dans l'UE.

OpenAI a déjà été contraint d'apporter quelques changements après une intervention précoce de l'autorité italienne de protection des données, qui a brièvement forcé ChatGPT à fermer localement en 2023.

Noyb a maintenant déposé sa dernière plainte RGPD contre ChatGPT auprès de l'autorité autrichienne de protection des données au nom d'un plaignant anonyme (décrit comme une « personnalité publique ») qui a découvert que son chatbot alimenté par l'IA lui avait produit une date de naissance incorrecte.

En vertu du règlement général sur la protection des données, les citoyens de l'UE disposent d'une série de droits liés aux informations les concernant, y compris le droit de faire corriger des données inexactes. noyb affirme qu'OpenAI ne respecte pas cette obligation en ce qui concerne la sortie de son chatbot. Elle a déclaré que l’entreprise avait rejeté la demande du plaignant visant à corriger la date de naissance incorrecte, estimant qu’il était techniquement impossible de la corriger.

Au lieu de cela, il a proposé de filtrer ou de bloquer les données en fonction de certaines invites, telles que le nom du plaignant.

OpenAI politique de confidentialité Il indique que les utilisateurs qui remarquent que leur chatbot IA a généré des « informations inexactes vous concernant » peuvent soumettre une « demande de correction » via Confidentialité.openai.com Ou par e-mail à [email protected]. Cependant, il met en garde contre cette ligne : « En raison de la complexité technique du fonctionnement de nos modèles, nous ne serons peut-être pas en mesure de corriger les inexactitudes dans tous les cas. »

Dans ce cas, OpenAI suggère aux utilisateurs de demander que leurs informations personnelles soient entièrement supprimées de la sortie ChatGPT – en remplissant un formulaire. Formulaire Web.

Le problème pour le géant de l’IA, c’est que ses droits RGPD ne sont pas sélectifs. Les citoyens européens ont le droit de demander une correction. Ils ont également le droit de demander la suppression de leurs données. Mais, comme le souligne Noib, OpenAI n'a le droit de choisir aucun de ces droits disponibles.

D'autres éléments de la plainte se concentrent sur les problèmes de transparence du RGPD, Noib alléguant qu'OpenAI est incapable d'identifier la source des données qu'elle génère sur les individus, ni les données que le chatbot stocke sur les personnes.

Ceci est important car le règlement, une fois de plus, donne aux individus le droit de demander de telles informations en soumettant ce que l'on appelle une demande d'accès au sujet (SAR). Cependant, OpenAI n'a pas répondu de manière adéquate à la demande d'information du plaignant et n'a divulgué aucune information sur les données traitées, leurs sources ou leurs destinataires.

Commentant la plainte dans un communiqué, Maartje de Graaf, avocat spécialisé en protection des données chez noyb, a déclaré : « La création de fausses informations est un gros problème en soi. Mais lorsqu'il s'agit de fausses informations sur des individus, cela peut avoir de graves conséquences. Il est clair que les entreprises ne sont pas actuellement en mesure de rendre les chatbots comme ChatGPT conformes au droit de l'UE. Lors du traitement de données sur des individus, si un système ne peut pas produire de résultats précis et transparents, il ne peut pas être utilisé pour générer des données sur des individus. La technologie doit non seulement respecter les exigences légales. dans l'autre sens.

La société a déclaré qu'elle demandait à l'APD autrichienne d'enquêter sur la plainte concernant le traitement des données d'OpenAI, et l'exhortait également à imposer une amende pour garantir la conformité future. Mais elle a ajouté qu'il était « probable » que cette question soit résolue grâce à la coopération avec l'Union européenne.

OpenAI fait face à une plainte très similaire en Pologne. En septembre dernier, l'autorité locale de protection des données a ouvert une enquête sur ChatGPT à la suite d'une plainte déposée par un chercheur en matière de confidentialité et de sécurité qui a également été jugé incapable de corriger des informations incorrectes à son sujet par OpenAI. Cette plainte accuse également le géant de l'IA de ne pas avoir respecté les exigences de transparence énoncées dans le règlement.

Pendant ce temps, l'autorité italienne de protection des données mène toujours une enquête ouverte sur ChatGPT. En janvier, il a publié un projet de décision, affirmant à l'époque qu'il estimait qu'OpenAI avait violé le RGPD de plusieurs manières, notamment en ce qui concerne la tendance du chatbot à produire des informations trompeuses sur les personnes. Les conclusions portent également sur d’autres questions de fond, telles que la légalité du traitement.

Les autorités italiennes ont donné un mois à OpenAI pour répondre à ses conclusions. La décision finale est toujours en attente.

Aujourd’hui, avec une autre plainte RGPD lancée contre son chatbot, le risque qu’OpenAI soit confronté à une série de mesures d’application du RGPD dans différents États membres a augmenté.

L'automne dernier, la société a ouvert un bureau régional à Dublin – dans le cadre d'une démarche qui semble viser à réduire les risques réglementaires grâce au détournement des plaintes relatives à la vie privée par la Commission irlandaise de protection des données, grâce à un mécanisme du RGPD visant à simplifier la surveillance transfrontalière des plaintes. En les orientant vers une seule autorité de l'État membre où l'entreprise est une « entreprise principale ».