Veille Juridique n°58 – Avril 2023.

ChatGPT : quel cadre légal pour les nouvelles applications de l’intelligence artificielle ?

ChatGPT, Google Bard, Stable Diffusion et Dall-E sont des modèles de langage large (LLM : Large Language Model), une sous-catégorie des modèles de langage existants.

Les modèles de langage sont des programmes informatiques conçus pour traiter et générer du texte de manière similaire à un être humain.

Ils concernent par exemple la reconnaissance de la parole, la traduction automatique, la synthèse vocale et la génération de contenu. Les LLM sont plus grands et complexes que les modèles traditionnels.

Ils sont entraînés sur des corpus de texte très importants, parfois constitués de millions de pages de texte, et utilisent des architectures de réseaux de neurones profonds pour apprendre à traiter le langage.

Un LLM pourra ainsi fournir une variété infinie de contenus à la demande, que ce soit un poème, un scénario de film, un code de programmation informatique ou une composition musicale.

L’information n’est toutefois pas à jour : ChatGPT a été entraîné sur la base d’informations disponibles sur internet jusqu’en 2021.

Inutile donc de lui demander un point d’actualité sur les transferts de données vers les Etats-Unis ou un commentaire sur la dernière sanction de la CNIL.

Les LLM soulèvent de nombreuses questions d’ordre juridique et éthique, touchant notamment aux droits d’auteur, à la protection des données, à la désinformation et à la discrimination.

Ces dernières semaines, de nombreux régulateurs ont commencé à réagir, l’autorité italienne de protection des données en tête.

Cette dernière a émis le 31 mars une ordonnance contre OpenAI, bloquant ChatGPT en Italie en raison 

• du manque de transparence de l’application,
• de l’absence d’un motif légitime de traitement,
• du non-respect de l’exactitude des données traitées,
• de l’absence de vérification de l’âge et
• de la violation générale du principe de « privacy by design ».

Elle a été suivie de près par l’Allemagne qui commencé à examiner la conformité de ChatGPT au RGPD : le Land du Schleswig-Holstein a ainsi envoyé à OpenAI un questionnaire auquel elle devrait répondre avant le 11 juin.

Le Comité Européen de Protection des Données a emboité le pas à ses membres nationaux et mis en place un groupe de travail sur le sujet, et le Bureau Européen des Unions de Consommateurs (BEUC) a écrit au réseau des autorités de protection des consommateurs ainsi qu’au réseau des autorités de sécurité de consommateurs (réseaux CPC et CSN) pour leur demander d’enquêter sur les LLMs.

Outre-Atlantique, la Commission Fédérale du Commerce (FTC) indique également que les lois américaines existantes au niveau sectoriel couvrent l’IA générative, tout en avertissant les entreprises de prendre fortement en compte les intérêts des consommateurs et les risques liés aux déploiements en cours.

A la suite de ces investigations, Open AI a pris certaines mesures :

• Mise en place d’un droit d’opposition au traitement de données ;
• Élargissement et meilleure visibilité de la politique de confidentialité, informations sur les mises à jour effectuées ;
• Mise en place de mécanismes d’effacement des informations inexactes ;
• Ajout de formulaires permettant à tout utilisateur européen de filtrer ses chats et l’historique des données utilisées pour entraîner et améliorer les algorithmes de formation
• Ajout d’une possibilité d’exporter ses données et de vérifier les informations stockées.

Si ChatGPT est à nouveau accessible en Italie, de nombreuses questions subsistent.

Les garanties apportées par Open AI permettent aux personnes qui utilisent l’application de corriger ou supprimer leurs propres données, mais elles n’ont aucun impact sur le traitement des données de tous ceux qui n’utilisent pas l’application, soulevant ainsi de graves problèmes d’atteinte à la réputation.

 Récemment, ChatGPT a ainsi accusé un professeur de droit de harcèlement sexuel, la prétendue source étant un article qui n’a jamais été écrit.

Les biais raciaux ou ethniques ne sont pas non plus exclus. ChatGPT a été formé sur des données Internet et, par conséquent, est susceptible de refléter et de perpétuer les préjugés sociétaux qui existent sur le web.

Un algorithme prédictif utilisé pour la prise de décisions médicales a ainsi pris des décisions biaisées à l’encontre des patients noirs.

Même si les concepteurs de l’algorithme ont exclu la race comme critère de mesure lors de l’exécution du système, l’algorithme a continué à perpétuer les préjugés à l’encontre des patients noirs en prenant en compte certains facteurs économiques et les coûts des soins de santé.

Enfin, les risques en matière de cybercriminalité, tels que la production de courriels d’hameçonnage plus convaincants, ou l’apprentissage de nouvelles techniques d’attaque, se trouvent accrus, comme le souligne le rapport du National Cyber Security Centre britannique et la FTC aux Etats-Unis .

On peut se demander pourquoi les concepteurs de ChapGPT n’ont pas intégré la protection des données dès la conception de son application, mais au cas par cas sur la base des réactions des régulateurs.

Open AI n’est pas née de la dernière pluie : elle est en cours de développement depuis 2016, dirigée par des cofondateurs expérimentés, et a fait l’objet de six cycles de financement.

Sa valorisation actuelle est de 29 milliards de dollars, ses outils basés sur l’IA sont intégrés dans des produits non basés sur l’IA utilisés quotidiennement par des millions de personnes grâce à un partenariat avec Microsoft.

Les principes du « privacy by design » sont non seulement souhaitables dans un tel contexte, ils font partie intégrante des exigences du RGPD.

Leur mise en œuvre devrait se voir encore renforcée avec l’adoption du futur règlement européen sur l’IA, selon lequel les systèmes présentant des risques élevés devraient respecter un régime plus strict comprenant des exigences en matière de gestion des risques, de transparence et de gouvernance des données.

La dernière version du Règlement discutée par les députés européens exige également que tous les modèles d’IA respectent des principes de supervision, de robustesse et sécurité techniques, de protection de la vie privée, de gouvernance des données, transparence, bien-être social et environnemental, diversité, non-discrimination et équité.

 

Et aussi

URSSAF

Lors du week-end du 1er mai, l’Urssaf a commis une erreur informatique ayant provoqué la diffusion des données de plusieurs milliers de travailleurs indépendants.

Certains affiliés affirment ainsi avoir réceptionné des documents contenant les échéanciers « de dix-huit autres personnes », voire, dans les cas les plus importants, « 301 pages d’échéanciers Urssaf qui ne me concernent pas ».

Ces fichiers contiennent des informations personnelles sensibles comme les coordonnées bancaires, les revenus, les adresses ou les identités complètes. 

Les personnes concernées par ces erreurs de diffusion, 10 640 au total selon les premières conclusions de l’enquête interne, devraient recevoir prochainement un message pour les alerter à ce sujet.

L’Urssaf a déclaré la violation de sécurité à la CNIL.

DRONE

Depuis le 19 avril, policiers et gendarmes sont autorisés à filmer des rassemblements depuis le ciel.

Ce fut le cas au Stade de France, à Mayotte, au Havre et à l’occasion des manifestations du 1er Mai à Paris.

Un arrêté de la Préfecture de police, daté du 28 avril, permet en effet le survol des manifestants dans la capitale par caméras embarquées pour prévenir « des atteintes à la sécurité des personnes et des biens » et « permettre de maintenir ou rétablir l’ordre public ».

Il s’agit de l’une des premières autorisations émises en vertu d’un récent décret du ministère de l’intérieur dans le cadre de la nouvelle la loi relative à la responsabilité pénale et à la sécurité intérieure.

La CNIL s’est prononcée à deux reprises (en janvier et en juillet 2021) sur ces nouvelles dispositions légales et, à cette occasion, elle a appelé à un encadrement strict de l’usage des drones compte tenu des risques d’atteintes aux libertés publiques et à la vie privée des individus.

CYBERSÉCURITÉ

La loi du 3 mars 2022, qui entrera en vigueur le 1er octobre 2023, introduit une certification de cybersécurité pour les plateformes numériques destinées au grand public.

Les opérateurs de plateformes en ligne et les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation devront réaliser un audit de cybersécurité portant sur la sécurisation et la localisation des données qu’ils hébergent ainsi que sur leur propre sécurisation.

Selon le projet d’arrêté de mise en œuvre du cyberscore, les modalités d’audit incluront un recours au référentiel SecNumCloud pour l’exposition des données aux législations extraterritoriales, la localisation européenne des infrastructures d’hébergement et la nationalité des sous-traitants.

CNIL

La CNIL a publié le 3 avril une nouvelle version de son guide concernant la sécurité des données personnelles.

La nouvelle version prend notamment en compte les dernières recommandations de la CNIL en matière de mots de passe et de journalisation.

 

Institutions et organismes européens

PARLEMENT EUROPÉEN

• Transferts de données entre l’UE et les Etats-Unis : La Résolution adoptée le 13 avril par les députés de la commission des libertés civiles considère que le cadre de protection des données proposé par l’UE et les Etats-Unis est une « amélioration » mais que les progrès ne sont pas « suffisants » pour justifier une décision d’adéquation sur les transferts de données à caractère personnel.

La commission constate que le cadre permet toujours la collecte en masse de données personnelles dans certains cas et prévoit un mécanisme de recours qui pourrait ne pas être indépendant (les juges pourraient être révoqués par le président américain, qui pourrait également annuler ses décisions).

Les citoyens de l’UE pourraient également être empêchés d’exercer leurs droits d’accès et de rectification de leurs données puisque les décisions seraient gardées secrètes.

Les députés demandent instamment à la Commission « de s’assurer que le futur cadre puisse résister à des contestations juridiques et offre une sécurité juridique aux citoyens et aux entreprises de l’UE. »

• Les membres du Parlement européen ont surmonté le 27 avril leurs divergences et sont parvenus à un accord politique provisoire sur le Règlement relatif à l’IA.

Le texte comprendra des obligations plus strictes concernant les LLMs et les logiciels d’identification biométrique : initialement interdits en temps réel, ces logiciels de reconnaissance ne pourront être utilisés a posteriori que pour des crimes graves et avec une autorisation préalable.

Le texte pourrait encore faire l’objet d’ajustements mineurs au niveau technique avant un vote clé en commission prévu le 11 mai, et devrait faire l’objet d’un vote en plénière à la mi-juin.

• Le 20 avril, les députés ont approuvé le premier texte législatif de l’UE pour tracer les transferts de crypto-actifs comme les bitcoins et les jetons de monnaie électronique.

Le texte – qui a été provisoirement approuvé par les négociateurs du Parlement et du Conseil en juin 2022 – vise à garantir que les transferts de crypto-monnaie, comme c’est le cas pour toute autre opération financière, peuvent toujours être tracés et les transactions suspectes bloquées.

Le Parlement européen et les États membres de l’UE négocient actuellement le Cyber Resilience Act (CRA), un nouveau règlement visant à renforcer la sécurité numérique des appareils connectés dans l’UE.

L’ARC propose des exigences d’audit et de certification pour les fabricants de logiciels et de matériel des appareils connectés et prévoit une période minimale pendant laquelle ils doivent fournir des correctifs de sécurité logicielle pour leurs produits.

 

EDPB

• Le Comité Européen de la Protection des Données (EDPB) a publié le 27 avril un guide à l’intention des PMEs, détaillant les principes applicables en cas de traitement de données des employés, clients et partenaires commerciaux.

Le guide explique également les règles essentielles de sécurité à respecter et la façon de gérer une violation de données personnelles.

• L’EDPB a publié le 19 avril un rapport sur les résultats des travaux de la task force concernant les 101 plaintes déposées par l’ONG NOYB à la suite de l’arrêt Schrems II de la CJUE.

Ces plaintes concernent les outils « Google Analytics » et « Facebook Business Tools », et le transfert de données à caractère personnel vers les États-Unis.

Le rapport expose les positions communes de la task force et contient des informations sur les résultats des premières affaires concernées.

Plusieurs autorités chargées de la protection des données ont notamment ordonné aux exploitants de sites web d’interrompre les transferts de données en question. 

• Le 4 avril, l’EDPB a publié la version finale de ses lignes directrices 9/2022 sur la notification des violations de données à caractère personnel.

 

CVRIA

• La Cour de Justice de l’Union Européenne a considéré dans un arrêt du 4 mai que le droit d’accès de la personne concernée implique le droit d’obtenir des documents entiers ou des extraits de documents ou des extraits de bases de données, si cela est essentiel pour permettre à la personne concernée d’exercer effectivement son droit.

Dans le cas d’espèce, la société CRIF spécialisée dans les renseignements commerciaux avait fourni au plaignant une version synthétisée de ses données.

• La CJUE s’est en outre prononcée pour la première fois sur l’octroi de dommages non matériels dans le cadre du RGPD.

Si la Cour confirme dans son arrêt du 4 mai que le RGPD n’exige pas de « seuil » pour faire valoir des dommages, elle rappelle néanmoins qu’il doit y avoir une violation, des dommages et un lien de causalité, et qu’il n’y a pas de réclamation sans dommage réel.

A l’origine de l’affaire, le service postal autrichien avait généré des statistiques sur les tendances politiques probables de millions de personnes.

Le plaignant s’était vu attribuer un intérêt probable pour un parti d’extrême droite mais il n’était pas certain que cette information ait été divulguée à un tiers car il figurait sur une liste d’exclusion de la publicité postale.

• Dans un contexte similaire, l’Avocat Général de la CJUE a rendu le 27 avril ses conclusions sur la question suivante : la diffusion illégale de données à caractère personnel détenues par l’Agence nationale bulgare du revenu, à la suite d’un piratage informatique, peut-elle donner lieu à une indemnisation pour préjudice moral en faveur de la personne concernée, simplement parce que cette dernière craint une éventuelle utilisation abusive de ses données ?

Selon l’AG, le préjudice moral au sens de l’article 82 du RGPD ne doit pas être confondu avec de simples désagréments.

Les dommages doivent pouvoir être prouvés objectivement et ne pas dépendre exclusivement de la représentation subjective du demandeur.

 

Actualités nationales

• ITALIE : le 2 mars dernier, l’APD italienne a infligé une amende de 5 000 euros à un responsable de traitement pour avoir envoyé des communications commerciales non sollicitées à des adresses électroniques créées par un logiciel grâce à la combinaison automatique de données collectées sur l’internet.
• AUTRICHE : suite à une plainte déposée par noyb, l’APD autrichienne a déclaré le 29 mars qu’une bannière de cookies « acceptez ou payez » sur le site web d’un journal n’était pas conforme au RGPD compte tenu des exigences de granularité du consentement.
• PAYS-BAS : le 4 avril dernier, une cour d’appel néerlandaise a ordonné à Uber de fournir aux chauffeurs un accès à leurs données personnelles ainsi que des explications sur la prise de décision automatisée.La Cour a soumis le responsable du traitement à une astreinte de 4 000 euros par jour.
• ESPAGNE : L’autorité catalane de protection des données a jugé disproportionnée l’utilisation de systèmes de reconnaissance faciale pour prévenir la fraude lors d’examens universitaires en ligne. Elle a infligé au responsable du traitement des données une amende de 20 000 euros pour violation des articles 5(1)(a) et 9 du RGPD.
• ROYAUME-UNI : Près de 50 députés britanniques ont écrit à l’entreprise propriétaire des magasins House of Fraser et Sports Direct, pour condamner l’utilisation de caméras de reconnaissance faciale dans les magasins du groupe.

Qualifiant cette technologie d' »invasive et discriminatoire », les parlementaires ont exhorté le groupe à mettre fin à l’utilisation de ces caméras dans tout le pays.

• Le 4 avril, l’APD britannique a ouvert une enquête contre TikTok et lui a infligé une amende de 12 700 000 £ pour utilisation abusive de données d’enfants.
• La présidente de Signal, l’application de messagerie cryptée, a exprimé ses inquiétudes quant à la proposition du gouvernement britannique sur la sécurité en ligne, qui pourrait affaiblir le cryptage et obliger les entreprises à scanner des messages cryptés pour détecter du contenu illégal.

Meredith Whittaker indique que Signal pourrait quitter le Royaume-Uni si tel devait être le cas. Des préoccupations similaires ont été émises par d’autres entreprises de messageries telles que Whatsapp et Element.

 

• VIETNAM : Le gouvernement vietnamien a publié, le 17 avril 2023, le décret n° 13/2023/ND sur la protection des données personnelles (« PDPD »), qui constitue le premier document complet régissant la protection des données personnelles dans ce pays.
• TANZANIE : La nouvelle loi de protection des données à caractère personnel est entrée en vigueur le 1er mai.
• CBPR : Le 17 avril, le Royaume-Uni a demandé à rejoindre le groupe de pays adhérant aux CBPR (Croos-Bprder Security Rules), qui comprend actuellement l’Australie, le Canada, le Japon, la République de Corée, le Mexique, les Philippines, Singapour, le Taipei chinois et les États-Unis.Le CBPR, mis en place par le ministère américain du commerce, permet à toute juridiction de demander le statut d’associé et de bénéficier d’un libre échange de données avec les pays adhérents, si elle dispose de lois qui protègent les informations personnelles et si elle a « au moins un organisme public chargé de faire appliquer la (les) loi(s) et/ou la (les) réglementation(s) ».
• IAPP :Une infographie de l’Association Internationale des Professionnels de la vie Privée (IAPP) recense les juridictions qui confèrent à une APD ou à une autorité gouvernementale le pouvoir de désigner d’autres juridictions comme ayant des normes « adéquates » en matière de protection de la vie privée.

Elle sera complétée par une autre infographie détaillant les mécanismes et lignes directrices régulant les transferts selon les juridictions (clauses contractuelles, consentement, etc).