Non, ce n’est pas un poisson d’avril : OpenAI a commencé à géobloquer l’accès à son chatbot IA génératif, ChatGPT, en Italie.

Cette décision fait suite à une ordonnance de l’autorité locale de protection des données vendredi selon laquelle elle doit cesser de traiter les données des Italiens pour le service ChatGPT.

Dans une déclaration qui apparaît en ligne aux utilisateurs avec une adresse IP italienne qui tentent d’accéder à ChatGPT, OpenAI écrit qu’il « regrette » d’informer les utilisateurs qu’il a désactivé l’accès aux utilisateurs en Italie – à la « demande » de l’autorité de protection des données – qu’il connu sous le nom de Garantie.

Il indique également qu’il remboursera tous les utilisateurs en Italie qui ont acheté le service d’abonnement ChatGPT Plus le mois dernier – et note également qu’il « suspend temporairement » les renouvellements d’abonnement là-bas afin que les utilisateurs ne soient pas facturés pendant que le service est suspendu.

OpenAI semble appliquer un blocage géographique simple à ce stade, ce qui signifie que l’utilisation d’un VPN pour passer à une adresse IP non italienne offre une solution de contournement simple pour le blocage. Bien que si un compte ChatGPT a été enregistré à l’origine en Italie, il peut ne plus être accessible et les utilisateurs souhaitant contourner le blocage devront peut-être créer un nouveau compte en utilisant une adresse IP non italienne.

Déclaration d’OpenAI aux utilisateurs essayant d’accéder à ChatGPT à partir d’une adresse IP italienne. Crédits image : Capture d’écran/Natasha Lomas/fr.techtribune.net

Vendredi, le Garante a annoncé qu’il avait ouvert une enquête sur ChatGPT pour violation présumée du règlement général sur la protection des données (RGPD) de l’Union européenne, affirmant qu’il craignait qu’OpenAI ait traité illégalement les données des Italiens.

OpenAI ne semble pas avoir informé quiconque dont les données en ligne ont été trouvées et utilisées pour former la technologie, par exemple en récupérant des informations sur des forums Internet. Il n’a pas non plus été entièrement ouvert sur les données qu’il traite – certainement pas pour la dernière itération de son modèle, GPT-4. Et bien que les données de formation qu’il a utilisées aient pu être publiques (au sens d’être publiées en ligne), le RGPD contient toujours des principes de transparence, ce qui suggère à la fois les utilisateurs et les personnes dont il a extrait les données auraient dû être informés.

Dans son déclaration hier, le Garante a également souligné l’absence de tout système pour empêcher les mineurs d’accéder à la technologie, levant un drapeau de sécurité pour les enfants – notant qu’il n’y a pas de fonction de vérification de l’âge pour empêcher un accès inapproprié, par exemple.

De plus, le régulateur a exprimé des inquiétudes quant à l’exactitude des informations fournies par le chatbot.

ChatGPT et d’autres chatbots IA génératifs sont connus pour produire parfois des informations erronées sur des individus nommés – un défaut que les fabricants d’IA appellent « hallucinant ». Cela semble problématique dans l’UE puisque le GDPR offre aux individus une série de droits sur leurs informations, y compris un droit de rectification des informations erronées. Et, actuellement, il n’est pas clair qu’OpenAI dispose d’un système permettant aux utilisateurs de demander au chatbot d’arrêter de mentir à leur sujet.

La société basée à San Francisco n’a toujours pas répondu à notre demande de commentaires sur l’enquête du Garante. Mais dans sa déclaration publique aux utilisateurs géobloqués en Italie, il affirme : « Nous nous engageons à protéger la vie privée des personnes et nous pensons que nous proposons ChatGPT conformément au RGPD et aux autres lois sur la confidentialité. »

« Nous allons dialoguer avec Garantie dans le but de restaurer votre accès dès que possible », écrit-il également, ajoutant : « Beaucoup d’entre vous nous ont dit que vous trouviez ChatGPT utile pour les tâches quotidiennes, et nous sommes impatients de le rendre à nouveau disponible bientôt.

Malgré une note optimiste vers la fin de la déclaration, il n’est pas clair comment OpenAI peut résoudre les problèmes de conformité soulevés par le Garante étant donné le large éventail de préoccupations du RGPD, il est présenté comme il lance une enquête plus approfondie.

Le règlement paneuropéen appelle à la protection des données dès la conception et par défaut, ce qui signifie que les processus et principes centrés sur la confidentialité sont censés être intégrés dans un système qui traite les données des personnes dès le début (c’est-à-dire l’approche opposée pour saisir les données et demander pardon plus tard) .

Les sanctions pour les violations confirmées du RGPD, quant à elles, peuvent atteindre 4 % du chiffre d’affaires mondial annuel d’un processeur de données (ou 20 millions d’euros, selon le montant le plus élevé).

De plus, étant donné qu’OpenAI n’a pas d’établissement principal dans l’UE, toutes les autorités de protection des données du bloc sont habilitées à réglementer ChatGPT – ce qui signifie que toutes les autorités des autres pays membres de l’UE pourraient choisir d’intervenir et d’enquêter – et d’imposer des amendes pour toute violation. (dans un délai relativement court, car chacun n’agirait que dans son propre patch). Il est donc confronté au plus haut niveau d’exposition au RGPD, non préparé à jouer au jeu de forum shopping que d’autres géants de la technologie ont utilisé pour retarder l’application de la confidentialité en Europe.