La perspective d’un blocage de ChatGPT en France, abstraite jusqu’à présent, devient plus concrète aujourd’hui. Deux plaintes devant la Commission nationale de l’informatique et des libertés (Cnil) sont désormais recensées. Leur instruction par l’autorité de protection des données personnelles pourrait déboucher — en théorie — sur une interdiction du chatbot dans l’Hexagone.
Invraisemblable ? L’actualité récente en Italie montre au contraire que l’accès à l’agent conversationnel développé par l’entreprise américaine OpenAI n’est pas garanti. D’ailleurs, l’agent conversationnel capable de générer du texte à la volée intéresse un nombre croissant de régulateurs — en Allemagne, au Canada, aux États-Unis, en Irlande, ou bien au Royaume-Uni.
Fin mars, l’homologue de la Cnil en Italie relevait une série d’infractions et de problèmes avec ChatGPT. Elle appelait OpenAI à arrêter « ChatGPT jusqu’à ce qu’il se conforme à la réglementation en matière de protection de la vie privée ». Dans les heures qui ont suivi, la société s’est exécutée : elle a bloqué l’accès à ChatGPT depuis le pays.
Sans surprise, l’interruption de ChatGPT a entraîné une hausse fulgurante de l’intérêt pour les VPN en Italie. Les internautes doivent, en effet, passer par ces services pour contourner le blocage et faire croire à OpenAI que leur connexion vient en fait d’un autre pays. Dès lors, on peut raisonnablement penser qu’un blocage en France entraînerait aussi une ruée vers les VPN.
Des premières plaintes envoyées à la Cnil au sujet de ChatGPT
Pour l’heure, on n’en est pas encore là. La première plainte en France, signalée le 5 avril par le site L’Informé, a été déposée par l’avocate Zoé Villain, présidente de l’association Janus International, dédiée à la sensibilisation aux enjeux du numérique. La seconde vient d’un développeur, David Libeau, qui a récemment lancé un site défiant la vidéosurveillance.
Dans sa plainte, Zoé Villain détaille sa tentative infructueuse de demander un accès à ses données personnelles, après avoir relevé plusieurs manquements d’OpenAI. Elle s’étonne de n’avoir ni lu ni accepté une quelconque politique de confidentialité et des conditions générales d’utilisation. Pourtant, elle a transmis des données lors de son inscription et de son utilisation du service.
L’avocate considère ici que le public n’est pas correctement informé de la façon dont OpenAI traite les données personnelles. Une prise de contact a eu lieu avec OpenAI, mais les échanges n’ont pas abouti. Zoé Villain dit n’avoir jamais pu obtenir une copie des informations désirées, malgré la fourniture d’éléments complémentaires pour prouver son identité.
« OpenAI n’a pas été en mesure de donner droit à ma demande d’accès à mes données personnelles dans les délais impartis, et ce sans justification », écrit-elle dans sa plainte. Or, le RPGD exige que le responsable du traitement — ici OpenAI — « facilite les droits des personnes concernées », sauf s’il est prouvé que l’identification est impossible.
En conséquence, Zoé Villain se tourne vers la Cnil pour lui demander de l’aide, tout en l’invitant, en filigrane, à brandir des sanctions que l’autorité « trouverait adéquates » pour contraindre l’entreprise américaine à se conformer à la législation européenne. La finalité de la démarche, selon l’avocate, est qu’OpenAI « se conforme au droit des données personnelles. »
Dans sa plainte, l’avocate adresse d’ailleurs un rappel à la Commission au sujet de l’actualité italienne. En effet, la Garante per la protezione dei dati personali a statué que l’activité d’OpenAI ne serait pas conforme au droit des données personnelles. Or, l’Italie est aussi régie par le RGPD, comme la France. Dès lors, la Cnil est tout à fait susceptible d’aboutir aux mêmes conclusions.
Plusieurs options de sanction existent
On sait déjà que la Commission nationale de l’informatique et des libertés a pris contact avec son homologue italienne pour « échanger sur les constats qui ont pu être faits ». C’était le 31 mars dernier. Depuis, les deux plaintes sont arrivées et d’autres pourraient suivre, en France comme dans le reste de l’Union européenne. Le RGPD s’applique à travers 27 États.
Un blocage en France serait l’option la plus radicale, mais c’est une mesure qui est extrêmement rare. Dans les options dont dispose la Cnil pour faire cesser une infraction, il y a avant cette « arme nucléaire » plusieurs autres leviers offrant des possibilités d’intervention intermédiaire.
Les différents moyens de la Cnil sont présentés sur son site web. Retenons :
- Un rappel à l’ordre ;
- Une injonction de se mettre en conformité, qui peut être assortie d’une astreinte atteignant au maximum 100 000 euros par jour de retard ;
- Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
- Une amende administrative ne pouvant excéder 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de la société.
Toutes ces sanctions sont envisageables si les infractions mentionnées sont bien constituées — ce que l’instruction de la Cnil doit déterminer. Le blocage de ChatGPT en France pourrait d’ailleurs ne pas venir de la Commission, mais d’OpenAI, par crainte des effets de certaines décisions. C’est le cas si une amende très élevée est envisagée, par exemple.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
