L’IA vs RGPD : Un défi pour la protection des données
Nous vivons actuellement l’une des plus grandes ruées vers l’or technologique de l’histoire récente. Le chatbot d’OpenAI a atteint 100 millions d’utilisateurs en deux mois. Les avancées récentes dans le domaine de l’IA, telles que la mise à jour de ChatGPT d’OpenAI et le lancement de Google Bard aux États-Unis, mettent en lumière la rapidité avec laquelle l’IA évolue et les défis auxquels les régulateurs sont confrontés.
La course à la perfection de l’IA est basée sur une surexploitation désordonnée des données disponibles. Parce que oui, pour qu’une intelligence artificielle performe, elle doit être entrainée régulièrement. Il est probable que vous avez involontairement contribué vos données pour aider à entraîner un modèle d’IA.
Cette pratique soulève d’importantes questions légales et éthiques. Si ces entreprises ont collecté les données de personnes résidant en Europe, elles ont probablement violé le Règlement général sur la protection des données (RGPD). En effet, le RGPD stipule que les données personnelles ne peuvent être collectées et traitées sans le consentement de la personne concernée. Et si ces données ont été utilisées pour entraîner des modèles d’IA, comme cela semble être le cas, la situation se complique encore davantage.
Des mesures pour réguler l’IA
L’Italie a été le premier pays à réagir, son autorité de protection des données (DPA) ayant temporairement bloqué ChatGPT pour des préoccupations liées à la vie privée en avril dernier. Les demandes du DPA italien pour lever l’interdiction comprenaient des protections de la vie privée telles que l’interdiction d’accès aux mineurs, une explication plus détaillée des données traitées pour entraîner les algorithmes de ChatGPT, et la possibilité pour les personnes de se désinscrire de ce traitement sont en cours.
Cependant, ces mesures, bien que radicales, ne résolvent qu’une partie du problème. Les italiens qui le souhaitent accèdent toujours à ChatGPT au moyen d’un VPN.
La question de savoir si le « scraping » du web pour entraîner l’IA est légal reste en suspens. Selon le RGPD, même si une personne partage publiquement ses informations de contact, il s’agit toujours de données personnelles qui ne peuvent être utilisées ou traitées librement par une entreprise sans le consentement de la personne. De plus, le RGPD exige également que les données soient collectées pour des cas d’utilisation spécifiquement définis et dans le respect du principe de minimisation des données.
A l’image de ClearWiew AI, il est fort probable que ChatGPT et d’autres outils d’IA aient collecté des données en masse sans cas d’utilisation défini, violant ainsi le RGPD.
Le RGPD accorde également aux individus le « droit à l’oubli », qui permet aux personnes de demander que leurs données soient supprimées. Cependant, il n’existe actuellement aucun moyen légitime de garantir que ce droit peut être respecté pour les données collectées sur le web et utilisées pour entraîner un modèle d’IA. En effet, une fois ces données intégrées à l’IA, il est extrêmement difficile, voire impossible, de les séparer à nouveau.
IA : Vers une centralisation mondiale des données personnelles ?
Une autre préoccupation importante concerne le transfert de données entre l’Europe et les États-Unis. Depuis l’arrêt Schrems II, les entreprises sont tenues de vérifier les protections des données des pays vers lesquels elles transfèrent des données. OpenAI, en tant qu’entreprise américaine, doit prouver qu’elle a mis en place des protections adéquates avant de pouvoir transférer les données d’individus vivant en Europe vers les États-Unis sans leur consentement explicite.
Les entreprises d’IA, en revanche, font valoir que l’entraînement de l’IA nécessite de grandes quantités de données et que l’information était déjà publique. Aucune de ces justifications ne tient devant le RGPD.
Viennent s’ajouter à l’équation les entreprises tierces qui commencent à utiliser des chatbots d’IA pour diverses fonctions, comme l’aide aux appels de service à la clientèle. À moins que les données des personnes soient correctement anonymisées ou qu’elles consentent expressément à parler à un chatbot d’IA, ces entreprises tierces commettent également des violations du RGPD.
Le RGPD n’a pas été rédigé en pensant à l’IA au départ, mais il reste la législation la plus forte en matière de protection des données à ce jour. L’Union européenne travaille actuellement sur une proposition pour sa loi sur l’intelligence artificielle. Si tout se passe comme prévu, la proposition finale devrait être disponible en juin de cette année, et l’application de la loi pourrait commencer dès fin 2024.
A découvrir : IA, ChatGPT : Quel avenir pour la vie privée ?
Pour conclure
L’IA a le potentiel d’être une avancée véritablement révolutionnaire. Cependant, cela doit être fait correctement.
Le domaine de l’intelligence artificielle est également confronté à des défis en matière de droit d’auteur. Les entreprises comme JPMorgan Chase, Amazon et Samsung ont restreint l’utilisation d’outils d’IA, craignant que leurs informations propriétaires ne soient utilisées pour entraîner des modèles comme ChatGPT. Cette crainte n’est pas infondée. En effet, nous avons déjà vu des cas où les sorties générées par l’IA ressemblent de près à des informations existantes.
De plus, des sites web comme Reddit et Stack Overflow ont commencé à facturer les entreprises d’IA pour l’accès à leurs API. Comme l’a déclaré le PDG de Reddit, Steve Huffman :
« Aspirer Reddit, générer de la valeur et ne pas restituer cette valeur à nos utilisateurs est quelque chose avec lequel nous avons un problème ».
Dans le même temps, Getty Images a poursuivi Stability AI, l’entreprise derrière l’outil d’art Stable Diffusion, pour violation du droit d’auteur. Getty Images affirme que Stability AI a « copié et traité illégalement » des millions de ses images de stock protégées par le droit d’auteur. Des experts indépendants ont examiné le jeu de données utilisé par Stability AI pour entraîner son algorithme et ont conclu qu’il contenait une quantité substantielle d’images de Getty.
C’est l’industrie du net toute entière qui regarde d’un mauvais œil le chemin que prennent les données et les métadonnées.
L’IA a le potentiel de bouleverser de nombreux domaines, de l’éducation à la médecine en passant par la finance. Mais pour que cela se produise de manière éthique et légale, les entreprises d’IA doivent respecter les lois existantes et travailler avec les régulateurs pour élaborer de nouvelles lois adaptées à cette technologie.
L’avenir de l’IA est à la fois prometteur et incertain. L’exploitation imprudente des données personnelles à l’échelle planétaire par les entreprises d’IA est une source d’inquiétude. Difficile de parler d’adaptation.