La semaine dernière, nous avons en compagnie de Maître Aurore Sauviat* décrypté les enjeux juridiques liés à l’irruption de l’IA dans notre vie quotidienne, en termes de droit d’auteur. Nous nous intéressons ici aux risques de ces outils en matière de protection des données personnelles car internet est à l’image de la société : l’éthique n’y est pas partagée par tous.
Opportunités et obligations
ChatGPT, Midjourney … et les autres présentent de nombreux avantages pour leurs utilisateurs : en reproduisant les comportements des consommateurs, l’IA peut prédire leurs besoins et leurs désirs, anticiper leurs comportements et s’adapter à leurs projets.
Mais ces innovations induisent des risques bien réels : nos données personnelles, indispensables pour l’évolution de ces outils qui compilent un grand nombre de data, sont collectées, ingérées et partagées.
A nous d’être responsables !
Nous sommes les premiers à partager nos données personnelles, sans avoir parfois conscience des risques que cela peut impliquer. Par exemple dans un prompt (un texte que nous rédigeons pour dialoguer avec l’IA afin d’obtenir une réponse) certains s’amusent à communiquer leurs données médicales pour confirmer le diagnostic d’un médecin. Or, de nombreuses études ont démontré que les outils d’IA tel que GPT-3, ont tendance à mémoriser et réutiliser certains éléments textuels leur ayant été soumis comme les nom, prénom, adresse, numéro de téléphone, de carte bleue, etc.
Cette agrégation de données personnelles par les IA en font des cibles de choix pour les attaques malveillantes (violation de données pouvant conduire à du phishing, des usurpations d’identité, etc). Le mieux est donc, si vous utilisez ces outils, d’être vigilant et ne pas communiquer de données personnelles.
L’IA va tellement vite
La technologie se développe généralement beaucoup plus vite que ses créateurs l’ont imaginé et va remettre en cause nos habitudes et notre fonctionnement. Pour l’instant, elle est purement générative : ses algorithmes utilisent des données brutes massives pour créer de nouveaux contenus. Mais elle n’est pas encore capable de réfléchir pour apporter une valeur ajoutée intellectuelle. Pour l’instant !
Réfléchir, là est toute la question
2 000 experts du domaine ont signé une lettre réclamant une pause de 6 mois, le temps d’ouvrir une vraie réflexion pour encadrer l’IA avant qu’il ne soit trop tard. Pour éviter les détournements malveillants de ces outils, il faut créer des règles permettant d’assurer la transparence des algorithmes et la possibilité d’organiser des contrôles par des autorités qui seraient dédiées à veiller au respect de règles éthiques. Ceci pourrait être fait par exemple sur le modèle de la CNIL qui assure, en France, le respect de la réglementation sur les données personnelles.
Revenons au droit
L’équivalent de la CNIL italienne avait, il y a quelques semaines, coupé l’accès à ChatGPT en Italie au motif qu’OpenAI n’apportait pas de garanties suffisantes sur le respect des données personnelles. Après une exclusion d’un mois, ChatGPT a finalement été rétabli après que des modifications ont été effectuées pour rendre ChatGPT plus conforme à la réglementation européenne.
De toute évidence, le texte du RGPD et les autorités de contrôle ont suffisamment d’influence pour conduire OpenAI à changer ses pratiques.
Les entreprises (et leurs salariés) qui utilisent ou développent des IA, ont besoin d’accompagnement et de conseils pour comprendre les enjeux et les risques liés à ces nouveaux outils et mettre en place des bonnes pratiques dans le cadre de leurs utilisations.
Le sujet est passionnant dans ce monde en (r)évolution. Et comme il s’agit d’un domaine totalement nouveau qui n’est pas encore « scrappé » par l’IA, les avocats sont en première ligne pour nous accompagner…
* Aurore Sauviat est spécialiste du droit de la propriété intellectuelle, des nouvelles technologies, en droit des données personnelles et en droit commercial.
Elle est DPO certifiée par l’International Association of Privacy Professionnals (iaap), membre de l’Association des Praticiens du Droit des Marques et des Modèles (APRAM) et de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)