ChatGPT - le chatbot alimenté par l’intelligence artificielle - fait les gros titres depuis sa date de sortie initiale le 30 novembre 2022. Plus récemment, ChatGPT a fait l’objet d’une attention particulière dans le cadre de la réglementation de la confidentialité.
Le Commissariat à la protection de la vie privée du Canada (CPVP) a récemment annoncé qu’il avait lancé une enquête sur l’entreprise derrière ChatGPT, OpenAI. L’enquête a été lancée en réponse à une plainte selon laquelle OpenAI recueille, utilise et divulgue des renseignements personnels sans consentement. Le CPVP n’a pas encore fourni de détails sur l’enquête. En lien avec l’annonce concernant l’enquête, Philippe Dufresne, commissaire à la protection de la vie privée du Canada, a déclaré que « la technologie de l’IA et ses effets sur la vie privée sont une priorité pour mon Commissariat ».
La réglementation de l’intelligence artificielle fait également l’objet du projet de loi C-27, qui comprend l’ébauche du régime de protection de la vie privée pour remplacer la législation fédérale existante ainsi que la Loi sur l’intelligence artificielle et les données (ACRA). L’ACRA comprend des dispositions qui ont une incidence sur les organisations impliquées dans la conception, le développement et le déploiement de systèmes d’IA, ainsi que des pénalités substantielles - jusqu’à 5% des revenus mondiaux bruts - pour violation des dispositions.
Alors que des rumeurs circulent selon lesquelles l’AIDA pourrait être retiré du projet de loi C-27 pour permettre un examen plus approfondi de l’avant-projet de loi, la réglementation de l’IA peut encore se produire en vertu de la législation existante, comme la législation fédérale sur la protection de la vie privée en vertu de laquelle le CPVP a lancé l’enquête actuelle sur OpenAI.
L’OPC est la dernière entité gouvernementale du monde occidental à enquêter sur OpenAI. Plus tôt ce mois-ci, l’Autorité italienne de protection des données (Garante per la protezione dei dati personali) (la Garante) a imposé une limitation temporaire sur le traitement des données des utilisateurs italiens par OpenAI. Il a également lancé une enquête sur OpenAI, donnant à OpenAI 20 jours pour développer des mesures pour se conformer à l’ordre de Garante, faute de quoi OpenAI pourrait être condamné à une amende allant jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires annuel mondial total. 1
L’enquête de Garante est venue à la lumière d’une violation de données qui a affecté les conversations des utilisateurs de ChatGPT et les informations sur les paiements par les abonnés au service. En ordonnant la suspension temporaire de ChatGPT, le Garante a affirmé qu’OpenAI n’avait fourni aucune information aux utilisateurs et aux personnes concernées dont les données sont collectées par OpenAI par le biais de l’exploitation de ChatGPT, et qu’il n’y a peut-être pas de base juridique pour la collecte et le traitement massifs de données personnelles afin de « former » les algorithmes sur lesquels repose la plate-forme. 2
The Garante a également affirmé que les informations mises à disposition par ChatGPT ne correspondaient pas toujours aux circonstances factuelles, ce qui entraînait le traitement de données personnelles inexactes. Enfin, le Garante s’est dit préoccupé par l’absence d’un mécanisme de vérification de l’âge dans ChatGPT.3
The Garante aurait maintenant déclaré qu’il lèverait l’interdiction temporaire de ChatGPT si OpenAI commençait à se conformer aux exigences de confidentialité, y compris les droits de protection des données pour les utilisateurs et les non-utilisateurs, une base juridique pour le traitement des données et une campagne de sensibilisation du public, et la mise en œuvre de la vérification de l’âge pour empêcher l’accès des mineurs.4
France et l’Irlande auraient contacté le Garante pour en savoir plus sur le fondement de la suspension temporaire, bien qu’aucune des deux juridictions n’ait lancé ses propres enquêtes ou imposé de mesures contre ChatGPT.5 La Commission nationale de l’informatique et des libertés de France a toutefois reçu quelques plaintes relatives à la protection des données. 6 L’Allemagne serait également en contact avec le Garante et a déclaré publiquement qu’en principe, ChatGPT pourrait également être interdit en Allemagne. 7 Par ailleurs, l’Espagne a demandé au Conseil européen de la protection des données d’évaluer les problèmes de confidentialité avec ChatGPT afin que des actions harmonisées au sein de l’Union européenne (UE) puissent être mises en œuvre dans le cadre de l’application du RGPD. 8
OpenAI, qui est une société basée aux États-Unis, fait également face à une plainte déposée auprès de la Federal Trade Commission (FTC) des États-Unis, exhortant la Commission à ouvrir une enquête sur OpenAI et à suspendre le déploiement des produits commerciaux GPT jusqu’à ce qu’OpenAI se conforme aux directives de la Commission pour les produits d’intelligence artificielle. La plainte a été déposée par un groupe de la société civile basé aux États-Unis, le Centre for AI and Digital Policy, mais la FTC n’a pas encore annoncé si elle entreprendra une enquête sur OpenAI. 9 Au milieu des préoccupations concernant la sécurité des produits d’intelligence artificielle, la National Telecommunications and Information Administration, qui conseille la Maison Blanche, prépare apparemment un rapport sur les efforts visant à garantir que les systèmes d’IA fonctionnent comme prévu et sans causer de dommages. 10
À mesure que les organisations intègrent l’utilisation de l’intelligence artificielle dans leurs opérations (seules ou par l’intermédiaire de fournisseurs tiers), elles devront identifier et gérer les risques potentiels impliquant, entre autres, (1) la façon dont l’intelligence artificielle peut être utilisée pour faire des prédictions, des recommandations ou des décisions qui ont une incidence sur les individus, et (2) la façon dont l’intelligence artificielle est utilisée dans la collecte et l’utilisation des renseignements personnels. La gestion de la conformité dès le départ est essentielle pour éviter des procédures réglementaires coûteuses et des amendes potentielles. Le groupe Groupe de confidentialité et de protection des données de Bennett Jones peut aider les organisations à naviguer dans ce paysage en évolution rapide.
4 L’Italie lèvera l’interdiction de ChatGPT si OpenAI se conforme aux droits de données, à la vérification de l’âge, aux exigences d’information publique, par Frank Hersey (mlex)