Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

AFCDP : Sans accompagnement, l’IA générative menace la vie privée

mai 2023 par Patrick Blum, Délégué Général de l’AFCDP

L’intelligence artificielle générative, ou conversationnelle comme ChatGPT, permet d’établir des interactions naturelles et fluides, assurant une communication efficace avec les utilisateurs. Elle peut optimiser certains processus en automatisant les réponses et en fournissant un support 24/7. En outre, elle est censée s’adapter constamment pour améliorer son apprentissage et sa compréhension des besoins des utilisateurs. Chatbots et assistants de dernière génération promettent ainsi d’améliorer l’expérience client, par exemple en résumant de nombreux avis d’acheteurs de véhicules en un temps record.

Au-delà d’un progrès indiscutable, des dérives sérieuses

Néanmoins, on assiste aujourd’hui à un buzz très négatif autour des IA conversationnelles et génératives. Pourquoi ? D’abord parce que leurs algorithmes d’apprentissage peuvent contribuer à produire en quelques minutes des images, textes et vidéos biaisés ou trafiqués, tout en restant tout à fait plausibles.
Le meilleur et le pire des usages deviennent possibles, jusqu’aux « fake news » sur les conflits et crises en cours, ou aux codes malveillants industrialisés, simples à générer, rapides à diffuser, sans doute annonciateurs d’une vague de cyberattaques sans précédent.

Entre autres dérives, le service en ligne ChatGPT d’OpenAI facilite les entorses à la protection de la propriété intellectuelle, une image générée ou un simple résumé de textes pouvant masquer la transformation illégale de plusieurs œuvres originales. Les critiques sont logiquement nombreuses dans le secteur de l’éducation, ou le plagiat devient à la fois plus simple à réaliser et plus difficile à identifier, encourageant la fraude aux devoirs et aux examens.

Au-delà de ces risques largement médiatisés, ces nouvelles technologies mises en lumière par le succès fulgurant de ChatGPT présentent des risques pour la vie privée via leur usage massif et non encadré de données personnelles.
La vie privée et les données personnelles en danger
La question de la protection des données personnelles est déjà au cœur de plusieurs plaintes auprès des autorités de contrôles et Espagne et en Italie. Le « Garante » italien, l’équivalent de la CNIL a même suspendu l’usage de ChatGPT dans l’attente d’engagement de mise en conformité de la part d’Open AI.

En France, plusieurs plaintes ont également été déposées auprès de la CNIL, dont celle du député Eric Bothorel qui a noté que le service introduisait de nombreuses erreurs dans sa propre biographie, sans permettre la moindre rectification possible. Le CEPD/EDPB (Comité européen de la protection des données) vient de créer une « task force » sur le sujet pour coordonner les actions des autorités de contrôle nationales.

De nouvelles questions à se poser

Mais que reproche-t-on à ChatGPT ? En pratique, le service présente de nombreuses infractions au RGPD. Tout d’abord, une insuffisance d’information sur le traitement des données. Si, dans les mentions légales sur ses usages, l’éditeur indique la nature des données traitées, il reste imprécis sur la finalité de son service et sur la base juridique applicable. En pratique, ces informations ne semblent concerner que les données d’accès et d’utilisation du service, mais pas les données collectées et restituées par le moteur conversationnel. Et en cas de restitution inexacte d’informations personnelles, l’utilisateur ne peut ni proposer une correction ni faire opposition au traitement de ses données.

Accessoirement, l’apprentissage de ChatGPT ayant été fait sur des données arrêtées en septembre 2021, il ne répond pas aux requêtes concernant l’actualité récente, mais ne précise ni l’étendue chronologique ni les sources des corpus analysés.

Dans l’entreprise, le problème s’amplifie avec les informations confidentielles ou les données personnelles que peuvent contenir les requêtes adressées par l’utilisateur à l’IA distante. Ces renseignements emmagasinés nourrissent la base de connaissances d’OpenAI.

Alors, quoi faire ?

Du point de vue de l’AFCDP, ChatGPT et ses usages restent à encadrer, plutôt qu’à interdire. Sans attendre le futur Règlement européen sur l’intelligence artificielle, qui risque d’ailleurs d’être dépassé par les outils d’IA conversationnelle, il convient certainement d’imposer aux éditeurs concernés la plus grande transparence sur les sources exactes de données de l’IA générative, en particulier celles contenant des données à caractère personnel, et le respect des obligations de base prévues par le RGPD, en particulier le droit d’accès, le droit de rectification et le droit d’opposition.

À titre individuel, certaines précautions sont certainement à recommander. Tout d’abord, il semble pertinent de désactiver l’option par défaut d’enregistrement de l’historique des échanges et utiliser la fonction d’export des données pour vérifier périodiquement les données que ChatGPT a enregistrées. Ces deux nouvelles fonctionnalités ont d’ailleurs été récemment ajoutées en réaction à la vague de critiques médiatisées. Dans le cas où des données personnelles apparaissent dans les résultats des conversations, ne pas hésiter à demander leur correction ou leur suppression, et en l’absence de réponse, porter plainte auprès de la CNIL.

Dans le cas où des données personnelles apparaissent dans les résultats des conversations, il reste possible, le cas échéant, de demander leur correction ou leur suppression, via l’adresse de contact proposée dans les mentions légales. Il y a toutefois peu de chance d’obtenir gain de cause, et en dernier recours, il reste la plainte adressée à la CNIL.

À titre professionnel, il convient d’être attentif, lors des conversations avec ChatGPT, à ne pas mentionner des informations confidentielles ni des données personnelles. La sensibilisation des collaborateurs face à ces risques spécifiques est un nouveau volet à ajouter aux missions du Délégué à la protection des données.

Au-delà, avec la prolifération de contenus générés automatiquement, il devient nécessaire d’apprendre à détecter leur toxicité éventuelle ? Et, demain, saura-t-on contrer le détournement de ces outils vers la multiplication d’armes de désinformation massive conçues pour nuire aux entreprises ou pour déstabiliser des états ?


Voir les articles précédents

    

Voir les articles suivants