En quoi l'intelligence artificielle constitue-t-elle un défi pour le GDPR ?

Le 31 mars 2023, l'autorité italienne de régulation de la protection des données, Garante per la Protezione dei Dati Personali, a émis une interdiction temporaire du ChatGPT d'OpenAI pour l'utilisation des informations personnelles de millions de citoyens italiens exploitées pour les données d'entraînement de l'IA. Cet événement a ouvert la voie à un examen réglementaire de la part d'autres autorités de surveillance européennes et a placé sous les feux de la rampe l'utilisation abusive de données personnelles par des algorithmes d'apprentissage automatique.
Toutefois, les récentes percées des modèles linguistiques d'IA, tels que GPT-3 et 4 utilisés pour ChatGPT, ont créé un défi unique pour la conformité au GDPR en raison de l'absence de considération spécifique pour les technologies d'IA dans le règlement.

Bien que le GDPR couvre des aspects cruciaux de la confidentialité et de la protection des données, il n'aborde pas spécifiquement les complexités et les menaces potentielles liées aux systèmes d'IA. Voyons comment le GDPR comble cette lacune réglementaire et ce que l'avenir nous réserve en matière de confidentialité des données.

Quels dilemmes l'IA pose-t-elle à la vie privée ?

Les modèles linguistiques d'IA, tels que le GPT-3, ont besoin de données pour pouvoir être entraînés à écrire du texte, découvrir des corrélations, faire des prédictions, améliorer leurs performances, etc. Ces modèles acquièrent leurs connaissances grâce à une combinaison de méthodes, notamment la recherche d'informations sur l'internet, l'alimentation en données par des licences tierces et les données fournies par les utilisateurs dans le cadre de chats. Cela inclut également les données personnelles des citoyens de l'UE qui sont accessibles au public.

Cependant, conformément au GDPR, cela ne signifie pas qu'elles peuvent être utilisées librement pour entraîner des modèles d'intelligence artificielle. L'article 6 du règlement stipule qu'à moins qu'il n'existe une base juridique suffisante, les données à caractère personnel permettant d'identifier directement ou indirectement une personne ne peuvent être collectées, conservées ou traitées sans fondement juridique. Toutefois, aucun consentement à l'utilisation d'informations personnelles n'a été demandé aux personnes pendant la phase de formation des modèles d'IA. Dans presque tous les cas, il n'y avait aucun moyen de savoir ce que les systèmes d'IA nettoyaient en ligne.

"Un grand nombre de données sur l'internet se rapportent à des personnes, de sorte que nos informations sur la formation comprennent accessoirement des informations personnelles." ~ OpenAI

Une autre question est celle du droit à l'oubli. L'article 17 du GDPR, souvent connu sous le nom de "droit à l'effacement" ou "droit à l'oubli", donne aux personnes le droit de demander que leurs données personnelles soient effacées dans certaines situations. Les modèles de langage de l'IA peuvent-ils oublier les données personnelles d'une personne ?

Dans un article de Forbes, Miguel Luengo-Oroz, expert en IA et entrepreneur social, a fait remarquer que les réseaux neuronaux d'IA n'oublient pas comme les humains, mais modifient leurs poids pour refléter plus précisément les nouvelles données. Cela signifie que les informations restent avec eux et que les réseaux se concentrent sur la collecte de nouvelles données. Il est actuellement impossible d'annuler les modifications apportées à un système d'IA par un seul point de données à la demande du propriétaire des données.

Le cas de ChatGPT et les violations du GDPR

Les mesures prises récemment par l'autorité italienne de régulation de la protection des données à l'encontre de ChatGPT constituent le premier exemple de prise en compte par une autorité de régulation des problèmes de protection de la vie privée liés au développement de modèles d'IA génératifs de grande envergure.

Le Garante italien a identifié quatre problèmes spécifiques liés au GDPR concernant ChatGPT. Il s'agit de l'absence de contrôle de l'âge pour empêcher l'utilisation par des personnes de moins de 13 ans, de la fourniture potentielle d'informations inexactes sur les personnes, de l'absence de divulgation concernant la collecte de données et de l'absence de base juridique pour la collecte d'informations personnelles lors de la formation de ChatGPT.


Le manque de transparence d'OpenAI concernant l'ensemble des données utilisées pour entraîner ChatGPT a également suscité des inquiétudes. Des chercheurs de Microsoft - le principal investisseur d'OpenAI - ont admis ne pas avoir accès à tous les détails des vastes données d'entraînement de ChatGPT. En outre, une violation de données en mars 2023 a entraîné l'exposition des conversations et des informations de paiement des utilisateurs, ce qui complique encore la position d'OpenAI.

Les régulateurs, tels que le commissaire de l'État allemand du Schleswig-Holstein, demandent des évaluations de l'impact sur la protection des données et des informations concernant la conformité avec le GDPR.

Quels autres systèmes d'intelligence artificielle ont enfreint les règles de protection des données ?

ChatGPT n'est pas le seul système d'intelligence artificielle à enfreindre les règles de protection des données. Voici quelques autres exemples :

Comment les modèles d'IA peuvent-ils être conformes au GDPR ?

Le Parlement européen a publié une étude en juin 2020 intitulée "L'impact du règlement général sur la protection des données (RGPD) sur l'intelligence artificielle", qui contribue à éclairer la façon dont un modèle d'IA peut être conforme au RGPD.

Elle précise qu'un système d'IA qui utilise des données à caractère personnel doit être créé, formé et déployé en ayant à l'esprit un objectif spécifique et légal. Cet objectif doit être connu, clair et conforme à la mission de l'organisation. Il doit être défini à l'avance au cours du processus de planification du projet.

L'utilisation de systèmes d'IA nécessite un fondement légitime. Ces justifications juridiques sont les suivantes


Qu'il s'agisse de la phase d'apprentissage ou de la phase opérationnelle du modèle d'IA, il est important d'utiliser les données collectées en toute légalité. La protection du GDPR reste applicable à des fins d'apprentissage si la phase d'apprentissage est clairement distinguée de la mise en oeuvre opérationnelle et a pour seul objectif d'améliorer les performances du système d'IA.

Une règle essentielle pour les systèmes d'IA utilisant des données personnelles est la réduction des données. Seules les informations pertinentes, nécessaires et appropriées doivent être collectées et utilisées pour atteindre l'objectif fixé.

La quantité de données nécessaires à l'entraînement du système doit être soigneusement prise en compte lors du processus d'apprentissage. Les entreprises devraient examiner attentivement le type et le volume des données, tester les performances du système avec des données fraîches, faire une distinction claire entre les données d'apprentissage et les données de production, utiliser des mécanismes de pseudonymisation ou de filtrage des données, conserver une documentation sur la compilation et les propriétés des ensembles de données, réévaluer régulièrement les risques pour les personnes concernées, garantir la sécurité des données et mettre en place des cadres d'autorisation d'accès.

Quel est l'avenir du GDPR et de l'IA ?

L'avenir du GDPR et de l'IA présente un ensemble unique de défis et de considérations. Alors que le GDPR était principalement axé sur la résolution des problèmes émergents liés à l'internet, il n'incluait pas les concepts liés à l'IA. Bien que le règlement européen n'exige pas de changements significatifs pour s'adapter à l'IA, il existe des incertitudes et des lacunes dans le traitement des questions de protection des données liées à l'IA.
En outre, le GDPR joue un rôle dans la surveillance des préjugés et le traitement des données biométriques au sein des systèmes d'IA. Mais si le règlement sur l'IA vise à compléter le GDPR, il n'apporte que peu de clarté sur le traitement des données personnelles par les systèmes d'IA autres que ceux à haut risque.

Pour que les modèles d'IA soient conformes au GDPR, des discussions continues, des collaborations entre les autorités et les entreprises, et des orientations supplémentaires de l'UE sont nécessaires à court terme.