Dans une affaire qui soulève de sérieuses questions sur les responsabilités des entreprises d'IA en vertu du droit européen, un Norvégien a déposé une plainte officielle pour atteinte à la vie privée après que ChatGPT l'a faussement décrit comme un meurtrier condamné. L'incident n'est pas seulement troublant par son contenu - mêlant des accusations criminelles fictives à des détails personnels réels - mais aussi important par ses implications juridiques en vertu du règlement général sur la protection des données (RGPD).
Que s'est-il passé ?
Arve Hjalmar Holmen, un particulier norvégien, aurait interrogé ChatGPT pour savoir ce que l'IA pourrait dire de lui. La réponse qu'il a reçue a été choquante : le chatbot a prétendu que Holmen avait assassiné deux de ses enfants, tenté d'en tuer un troisième et qu'il purgeait actuellement une peine de 21 ans dans une prison norvégienne.
Ce qui rend la fabrication encore plus troublante, c'est que la réponse comprenait également les éléments suivants des données personnelles exactesIl s'agit d'un mélange de réalité et de fiction qui peut paraître crédible à l'utilisateur moyen.
GDPR : L'ossature juridique de la plainte
Au nom de Holmen, le groupe autrichien de défense de la protection des données NOYB (None of Your Business) a déposé une plainte formelle auprès de l'Agence norvégienne des droits de l'homme. Datatilsynet (Autorité de protection des données). Le cœur de la plainte repose sur Article 5, paragraphe 1, point d), du GDPRqui stipule que les données à caractère personnel doivent être :
"Exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes [...] soient effacées ou rectifiées sans délai".
Ce principe n'est pas facultatif. Le GDPR exige que les responsables du traitement des données (dans ce cas, l'OpenAI) garantissent l'exactitude des données personnelles et donnent aux individus la possibilité de corriger ou de supprimer des informations fausses ou trompeuses.
Les modèles d'IA et le défi de la "boîte noire
La plainte de NOYB met également en évidence un défi majeur à l'ère de l'IA : si les modèles d'IA comme ChatGPT peuvent générer des réponses apparemment intelligentes et informées, ils ne constituent pas des bases de données de faits vérifiés. Au lieu de cela, ils prédisent des textes en se basant sur des modèles de données d'entraînement, ce qui peut conduire à des déclarations à l'apparence plausible mais totalement inexactes, en particulier à propos de personnes.
La défense d'OpenAI a souvent inclus une clause de non-responsabilité générale selon laquelle "ChatGPT peut produire des informations incorrectes ou trompeuses" - mais selon les experts juridiques de NOYB, une clause de non-responsabilité n'exonère pas une entreprise de ses responsabilités en matière de GDPR.
"Vous ne pouvez pas diffuser de fausses informations et ajouter à la fin un petit avertissement disant que tout ce que vous avez dit n'est peut-être pas vrai". a déclaré Joakim Söderberg, avocat spécialiste de la protection des données chez NOYB.
Correction ou blocage : Une distinction juridique
Cette plainte constitue le deuxième cas formel de GDPR de NOYB à l'encontre d'OpenAI. La première, en avril 2024, concernait une personnalité publique dont la date de naissance avait été incorrectement indiquée par ChatGPT. À l'époque, OpenAI avait affirmé qu'elle ne pouvait pas "corriger" l'erreur, mais seulement bloquer les réponses à des requêtes spécifiques.
Mais en vertu du GDPR, les utilisateurs ont un droit de rectification, et pas seulement de rédaction ou de suppression. Si des données sont erronées, elles doivent être corrigées, et pas seulement cachées.
Pourquoi c'est important
Cette affaire rappelle avec force la raison d'être du GDPR et son importance cruciale à l'ère de l'IA. Lorsque des outils d'IA génèrent du contenu sur des personnes, en particulier du contenu contenant des allégations diffamatoires ou préjudiciables, la frontière entre la fiction et la violation des droits devient dangereusement mince.
Les implications sont claires :
- Les fausses données personnelles posent un problème de protection des données
- Les erreurs générées par l'IA peuvent avoir des conséquences dans le monde réel
- Les cadres de conformité tels que le GDPR ne sont pas facultatifs pour les développeurs d'IA opérant en Europe
Quelle est la prochaine étape ?
À l'heure actuelle, la chronologie de la requête initiale de Holmen sur ChatGPT est expurgée dans la version publique de la plainte, mais NOYB a confirmé qu'elle avait eu lieu avant que l'outil d'intelligence artificielle n'intègre des capacités de navigation en direct sur le web. Lorsque la même requête est saisie aujourd'hui, les résultats ne renvoient plus qu'à la plainte elle-même - une illustration frappante du fait que les empreintes numériques ne s'effacent pas facilement.
Cette affaire devrait accroître la pression sur les régulateurs et les développeurs pour qu'ils prennent au sérieux la gouvernance de l'IA et qu'ils veillent à ce que des garanties telles que celles prévues par le GDPR soient appliquées avec la même rapidité et la même ampleur que la technologie elle-même.
- Nous pouvons vous aider à vous mettre en conformité avec le FADP !
Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité
