📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Données personnelles et IA : OpenAI épinglé par la CNIL italienne, quelles leçons en tirer ?

Actualités RGPD

Sommaire

L’autorité italienne de protection des données a récemment prononcé une sanction de 15 millions d’euros à l’encontre d’OpenAI. Cette décision est la première condamnation en matière d’IA générative pour violation du RGPD. 

Pourquoi OpenAI a-t-il été sanctionné ? Quelles sont les conséquences pour les entreprises ? On vous explique tout ! 

Le contexte 

Ce n’est pas la première fois que ChatGPT est dans le viseur de l’autorité de protection italienne. Pour rappel, en mars 2023, la « Garante per la protezione dei dati personali » avait interdit ChatGPT en Italie et avait demandé à OpenAI de se mettre en conformité avec le RGPD. 

L’autorité avait pris cette décision en raison d’une violation de données importante. En effet, pendant près de 9 heures, de nombreuses données personnelles avaient été rendues accessibles au grand public, notamment des données d’identification, des extraits de conversation ainsi que des données bancaires. 

L’interdiction de ChatGPT avait été levée. En janvier 2024, une procédure avait par la suite été ouverte à l’encontre d’OpenAI. 

Qu’est-ce que ChatGPT ?

Si par un pur hasard vous ne savez pas ce qu’est ChatGPT, c’est un système d’intelligence artificielle (IA) générative basé sur un modèle conversationnel. Il peut : 

  • vous rédiger un article 
  • vous créer des lignes de code 
  • rédiger des essais et des dissertations 
  • créer votre lettre de motivation

C’est un programme qui peut comprendre et générer du texte en plusieurs langues et dans différents styles.  ​​

Cet article pourrait aussi vous intéresser : IA Act et RGPD : ce que les PME doivent savoir avant d’utiliser ChatGPT et autres IA

Utilisé par plus de 400 millions d’utilisateurs hebdomadaires, ChatGPT est devenu incontournable dans le quotidien de nombreux citoyens et entreprises. 

Qu’est-il reproché à OpenAI ? 

La CNIL italienne constate plusieurs violations en matière de protection des données : 

  • absence de notification de la violation de données de mars 2023. L’autorité reproche à OpenAI de ne pas avoir notifié la fuite de données à l’autorité italienne

  • absence de base légale. OpenAI n’a pas choisi de base légale adaptée pour le traitement des données personnelles d’entraînement de ChatGPT

  • manquement au principe de transparence. La politique de confidentialité n’était en effet pas assez claire, ce qui avait pour effet d’empêcher l’exercice des droits des utilisateurs

  • production de données inexactes. La CNIL italienne constate que les résultats générés par ChatGPT pourraient être considérés comme exacts par les utilisateurs. Elle estime donc que les utilisateurs devraient être informés que les résultats peuvent manquer de fiabilité

  • protection insuffisante des mineurs. L’autorité a relevé l’absence de mécanismes de vérification de l’âge des utilisateurs. Ceci pourrait ainsi potentiellement exposer les mineurs à des contenus inappropriés

Cet article pourrait aussi vous intéresser : Que faire en cas de violation de données personnelles ? Guide complet

Sanction et mesures complémentaires 

Face aux différents manquements constatés, la CNIL italienne a prononcé une amende de 15 millions d’euros à l’encontre d’OpenAI

L’autorité italienne a également exigé qu’OpenAI réalise une campagne de communication institutionnelle pendant 6 mois dans les médias (télévision, radio, journaux, internet). Le but est de sensibiliser le public au fonctionnement de ChatGPT et aux droits des personnes concernées (notamment droit d’opposition, droit à l’effacement et droit de rectification).

Pourquoi cette décision vous concerne-t-elle aussi ? 

Cette décision est importante car elle pourrait avoir des conséquences sur les entreprises qui utilisent des IA, comme ChatGPT. Vous pourriez en effet être considéré responsable en cas de non-conformité avec la législation en matière de protection des données. 

Si votre entreprise exploite une IA, il faudra ainsi que vous soyez attentifs à vos propres traitements de données reposant sur cette IA. Vous devrez notamment vous poser les questions suivantes :  

  • La base légale des traitements est-elle déterminée

  • L’information des utilisateurs est-elle suffisante ? Il s’agira ainsi de s’assurer que les utilisateurs sont bien informés de l’utilisation d’une IA et du fonctionnement de celle-ci. Ils devront aussi être informés de l’existence de droits sur leurs données.

  • Existe-t-il un mécanisme de vérification de l’âge des utilisateurs ? 

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Joséphine Iachino
Joséphine Iachino
Juriste en protection des données / Master 2 Droit Algorithmique et Gouvernance des Données.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.

Recevez gratuitement

notre guide RGPD

Découvrez les clés de la conformité RGPD.

Vos données sont en sécurité 🔒. En entrant votre nom et e-mail, vous acceptez de recevoir notre guide RGPD et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.