ChatGPT et confidentialité : quels enjeux pour les entreprises ?

Cependant, cet outil soulève aussi de nombreuses problématiques juridiques, notamment en termes de confidentialité et de propriété intellectuelle. De plus, le manque de fiabilité des résultats et l’absence d’esprit critique de l’outil peuvent également le rendre superflu dans certaines situations.

Dernièrement, certains pays ont remis en question son utilisation, notamment sur la base des dispositions du Règlement Général sur la Protection des Données (RGPD). Le 31 mars 2023, Il Garante per la protezione dei dati personali, l'Autorité de protection des données italienne, a interdit l’accès à ChatGPT aux citoyens italiens en raison de problèmes de confidentialité. Les raisons évoquées portent sur la récolte illicite de données personnelles et sur l’absence de système de vérification de l’âge des mineurs. L’Autorité a accordé à la société OpenAI, à l’origine de cet outil, 20 jours pour communiquer les mesures mises en place afin de répondre aux critiques de l’Autorité. En l’absence de telles mesures, la société devra payer une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % de son chiffre d'affaires annuel mondial (conformément à l’article 83 du RGPD). Dans l’intervalle, on comprend que, vu l’enjeu, OpenAI a préféré suspendre l’accès à son outil en Italie. En France, plusieurs plaintes à l’égard de ChatGPT ont également été déposées devant la CNIL.

Du côté des entreprises, la question de l’utilisation de ChatGPT fait également débat. Des sociétés comme Amazon, Bank of America ou encore Goldman Sachs ont interdit récemment à leurs employés son utilisation en vue de protéger les informations confidentielles qu’ils pourraient être amenés à communiquer à l’outil.

En outre, ChatGPT étant un logiciel américain, son utilisation suppose donc le transfert de données aux États-Unis. Or, on sait que de tels transferts sont susceptibles de tomber sous le coup des dispositions du RGPD (article 44 et suivants).

De par sa conception même, le logiciel a nécessité le traitement de données personnelles pour son « entraînement ». On apprend en effet que OpenAI a utilisé environ 300 milliards de paramètres saisis sur internet, provenant notamment de Wikipédia. Ces sites comprennent de nombreuses informations personnelles dont certaines, sensibles. Or, le consentement des personnes concernées à faire partie de ce traitement n’a pas été sollicité, ni même a fortiori, obtenu. L’intérêt légitime de OpenAI ne paraît pas non plus pouvoir justifier le traitement de ces données personnelles. Certains droits prévus par le RGPD ne sont également pas respectés, les personnes ne pouvant pas demander l’accès et la suppression de leurs données personnelles utilisées en violation du RGPD.

Par ailleurs, l’utilisation de l’outil, hébergé aux États-Unis, suppose également le traitement de données personnelles, telles que :

• l’adresse email de l’utilisateur ;

• le numéro de téléphone ;

• l’adresse IP ;

• le type de navigateur web ;

• les données sur les interactions avec le site web ;

• des informations sur l’activité de navigation des utilisateurs sur le web au fil du temps.

Il faut aussi noter que OpenAI s’autorise de partager les informations personnelles avec des tiers, sans préciser lesquels.

Si l’utilisation de ces données dans le cadre d’un contrat se justifie aux termes du RGPD, la question du transfert aux États-Unis se pose. Ce transfert requiert en effet un consentement spécial qui n’est nullement demandé à l’utilisateur.

Dans le cadre d’une utilisation professionnelle au sein d’une entreprise, des questions relatives au secret des affaires peuvent également se poser. Cela est dû au nombre non négligeable d’avantages pouvant être tirés de l’utilisation de ChatGPT par toute entreprise voulant améliorer sa productivité et son efficacité.

Le risque est grand, vu la multiplicité des usages, de voir des données divulguées. Ce risque rejaillit également sur l’employé qui est tenu par un accord de confidentialité avec son employeur. Si l’employé partage des données confidentielles (volontairement ou non), il viole son obligation avec toutes les conséquences qui en découlent.

ChatGPT pourrait également, dans certains cas, être utilisé par des entreprises afin de prendre des décisions à l’égard d’individus. On parlera de « décision automatisée ». Il s’agit de toute décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

On peut citer notamment son utilisation potentielle par des organismes financiers afin d’évaluer la solvabilité financière d’une personne dans le cadre de l’obtention d’un crédit. Dans ce cas, l’algorithme analyse la situation financière de la personne vis-à-vis de certains critères définis, sans aucune intervention humaine. Par conséquent, l’algorithme prendra seul une décision en traitant des données à caractère personnel. L’institution suivrait ainsi l’avis de l’outil pour prendre sa décision.

Face à ces problématiques, l’Union européenne a voulu encadrer le recours à ce genre de décisions sur pied de l’article 22 du RGPD. Cet article stipule que toute personne a le droit de ne pas faire l’objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

L'objectif est clair, éviter que les humains ne soient soumis à des décisions entièrement prises par des machines. Des exceptions sont néanmoins prévues, notamment en cas d’obtention du consentement explicite des personnes concernées ou dans le cadre de dispositions légales spécifiques.

Enfin, se pose la question de la responsabilité de l’entreprise qui aurait pris une décision sur la base d’un avis provenant de ChatGPT, décision qui aurait entraîné un dommage à autrui. En l’absence de réglementation spécifique applicable à l’IA, le droit commun de la responsabilité civile s’applique et l’utilisateur est responsable des conséquences dommageables liées à l’utilisation des contenus produits par l’IA. En septembre 2022, la Commission européenne a publié une proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’IA. En attendant des règles plus précises à ce sujet, la jurisprudence jouera un rôle clé dans l’apport de plus de sécurité juridique quant à tous ces nouveaux défis.

On l’aura compris, il convient donc d’utiliser ChatGPT avec prudence et en étant conscient des risques pris. La notion de « bon père de famille » prend ici tout son sens et encore plus dans un contexte professionnel, au vu de la sensibilité des informations traitées. On évitera donc d’utiliser l’outil pour des tâches pouvant amener à traiter des données personnelles, des données confidentielles ou pour des décisions affectant un individu.

En conclusion, il est indubitable que les pays et les sociétés devront progressivement s'adapter à cette révolution initiée par l'IA. Adaptation à laquelle cette dernière n'échappera pas non plus, au regard de la réflexion qui doit se faire quant au respect des règles juridiques en vigueur.