Leçons tirées de l’interdiction temporaire du chatbot IA par l’Italie
En mars 2023, l’Italie est devenue le premier pays occidental à bloquer le chatbot avancé connu sous le nom de ChatGPT.
L’autorité italienne de protection des données, Garante, a évoqué des préoccupations concernant la protection des données personnelles lors de la prise de cette décision. Il a donné à OpenAI, la société californienne qui a créé ChatGPT, jusqu’à fin avril pour se conformer à ses demandes.
Garante a déclaré que ChatGPT collecte des données d’une manière incompatible avec la loi sur la protection des données. Une autre raison invoquée était le manque de vérification de l’âge par la plateforme, ce qui pourrait exposer les enfants à des contenus préjudiciables. En conséquence, il a utilisé une procédure d’urgence pour suspendre temporairement le traitement des données personnelles par OpenAI.
La nouvelle de l’interdiction temporaire s’est répandue dans le monde entier, suscitant des inquiétudes quant aux conséquences de décisions comme celle-ci sur le développement de nouvelles applications d’intelligence artificielle (IA).
Cette décision a également coïncidé avec un appel lancé par des experts et des hommes d’affaires, dont le cofondateur d’OpenAI, Elon Musk, pour imposer des limites au développement d’applications basées sur l’IA jusqu’à ce que les risques puissent être mieux évalués.
L’interdiction temporaire pourrait offrir des leçons importantes sur la proportionnalité et l’efficacité des interdictions de développer des technologies, sur la coordination entre les États membres au niveau européen et sur la manière d’équilibrer l’accès aux services avec la nécessité de protéger les enfants contre l’accès à des contenus préjudiciables.
L’ordonnance, émise le 30 mars, a été signée par Pasquale Stanzione, le président de l’autorité italienne de protection des données. Il faisait suite à une notification d’une violation de données concernant les données des utilisateurs de ChatGPT qui avait été signalée dix jours plus tôt.
Traitement de l’information
Garante a brièvement justifié ses mesures en soulignant le manque d’informations à la disposition des utilisateurs, et des personnes concernées, sur les données traitées par OpenAI. Il a également cité le traitement à grande échelle des données personnelles pour former des systèmes génératifs tels que ChatGPT.
Les conditions d’OpenAI stipulent que ChatGPT est fourni uniquement aux utilisateurs âgés de plus de 13 ans. Cependant, cela n’a pas satisfait l’autorité italienne de protection des données, qui s’inquiétait du manque de vérification de l’âge.
La réaction d’OpenAI a été, premièrement, de bloquer l’accès à ChatGPT en Italie et, deuxièmement, de démontrer sa disponibilité à collaborer avec Garante pour se conformer à l’ordonnance temporaire.
La conformité impliquerait qu’OpenAI mette en œuvre des garanties, notamment la fourniture d’une politique de confidentialité, offrant aux utilisateurs la possibilité d’exercer des droits individuels sur la protection des données et fournissant des informations sur la base juridique de l’entreprise pour le traitement des données personnelles.
Garante a salué ces engagements. Il a suspendu l’ordonnance temporaire et a demandé à OpenAI de mettre en œuvre ces garanties d’ici la fin avril 2023.
Cadre harmonisé
Cependant, l’affaire met en lumière au moins trois enseignements clés, à savoir le manque de coordination européenne dans la réglementation de cette technologie, l’efficacité et la proportionnalité de cette mesure, et la protection des enfants.
Premièrement, une plus grande coordination européenne est nécessaire autour de la question générale de la technologie de l’IA. La proposition de loi sur l’IA proposée par l’UE n’est qu’une étape vers un cadre harmonisé pour garantir le développement de technologies d’IA alignées sur les valeurs européennes. Et comme l’a montré l’interdiction de l’Italie, le modèle réglementaire de l’UE peut potentiellement se fragmenter si les autorités nationales vont dans leur propre direction.
En particulier, le lien entre l’IA et la protection des données permet aux autorités nationales de réagir au développement de nouvelles technologies d’IA. Il souligne également la nécessité d’une plus grande coordination entre les États membres européens sur les réglementations de toutes sortes.
Planifier, pas interdire
Deuxièmement, les mesures adoptées par l’autorité italienne de protection des données soulèvent des questions tant d’efficacité que de proportionnalité.
En ce qui concerne l’efficacité, il convient de noter qu’il y a eu des rapports faisant état d’une augmentation de 400 % des téléchargements de VPN en Italie, permettant potentiellement aux utilisateurs de contourner l’interdiction, après l’annonce de son introduction.
Sur la question de la proportionnalité, une interdiction générale ne semble pas établir un équilibre entre les intérêts constitutionnels contradictoires en jeu. La mesure temporaire ne mentionne pas comment elle prend en compte la protection d’autres intérêts, comme la liberté des utilisateurs d’accéder à ChatGPT.
Même si l’interdiction est temporaire, la situation aurait pu bénéficier de l’implication à un stade plus précoce d’autres membres du conseil d’administration de l’autorité italienne de protection des données. Un échange préliminaire avec OpenAI aurait pu éviter complètement une interdiction. Cette ligne de conduite aurait pu anticiper la mise en place de garanties supplémentaires pour se conformer à la protection des données.
Les meilleurs moyens de protéger les enfants
Enfin, la décision soulève des questions sur les meilleurs moyens de protéger les enfants de tout contenu préjudiciable créé par ces applications. La mise en place d’un système de vérification de l’âge ou d’alertes concernant les contenus préjudiciables auraient pu être des sujets de discussion, si les parties avaient engagé un dialogue continu.
Cette affaire offre un exemple de la manière dont les interdictions générales imposées sur les nouvelles applications technologiques sont généralement le résultat de réactions rapides qui n’impliquent pas une évaluation approfondie de l’efficacité et de la proportionnalité de la mesure.
Même si l’on soutient que la décision tend à protéger les droits fondamentaux, principalement en matière de protection des données et de protection des enfants, elle conduit à plus d’incertitude.
Une approche préventive et collaborative avec OpenAI aurait minimisé le risque de blocage de ce service en Italie. La poursuite des discussions entre OpenAI et les autorités italiennes est essentielle.