Développé par Open AI, en 2022, ChatGPT est un chatbot conversationnel élaboré à partir d’une intelligence artificielle. Cet outil nourri par des milliards de données est en mesure de répondre à des questions variées, rédiger des contenus et résoudre des problèmes plus ou moins complexes.

Si l’outil anime les foules et soulève de nombreuses questions, en matière de protection des données il n’est pas en reste !  

ChatGPT : dans le viseur des autorités de contrôle 

Le 30 mars 2023,  il « Garante », l’autorité de contrôle en matière de protection des données personnelles italienne, a été la première à mettre en demeure OpenAI de se conformer au RGPD et, contre toutes attentes, à bannir temporairement son usage. 

Quels sont les motifs ? 

  • Absence de base légale qui justifie la collecte et la conservation massive des données personnelles
  • Défaut d’information des personnes concernées 
  • Absence de vérification de l’âge, ce qui pourrait exposer des mineurs à des contenus parfois inadaptés

Ainsi, si ChatGPT poursuit son développement avec les données personnelles de millions d’individus sans cadre légal, il Garante pourrait condamner OpenAI à une amende administrative allant jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires annuel mondial. 

Et cette amende pourrait se cumuler si les autres autorités de contrôle endossent le pas !  

Le commissaire fédéral à la protection des données allemand et l’autorité de contrôle irlandaise (Data Protection Commission -DCP), réfléchissent à harmoniser leur position avec l’Italie.

En France, deux plaintes ont été déposées auprès de la CNIL :

  • La première par un développeur informatique qui a constaté que ChatGPT révélait des informations erronées à son égard 
  • La seconde par une avocate qui a notamment constaté l’absence de CGV et politique de confidentialité 

ChatGPT : dans le viseur des entreprises  

Au-delà des enjeux en matière de protection des données personnelles, l’utilisation de ChatGPT dans le cadre professionnel peut avoir un impact sur l’activité de tous les métiers et le secret des affaires. 

Les salariés n’hésitent pas à s’appuyer sur ChatGPT à des fins professionnelles. A titre d’exemple, les salariés d’Amazon utilisent le chatbot pour améliorer le code de l’entreprise. Or cela induit l’entrée dans le chatbot de données confidentielles, voire hautement confidentielles.

L’utilisation abusive par les salariés est d’autant plus risquée que, le lundi 20 mars 2023 ChatGPT a connu un bug entrainant une violation de données personnelles. Selon OpenIA, le nom, le prénom, l’adresse mail, l’adresse de paiement, les quatre derniers numéros de la carte de crédit et la date d’expiration de la carte ont fuité. 

Face à ces enjeux, il est recommandé de : 

  1. Sensibiliser les salariés sur l’utilisation abusive d’un tel outil
  2. Restreindre l’accès à la solution afin de prévenir la saisie de données confidentielles de l’entreprise
  3. Encadrer l’usage de ChatGPT dans votre Charte Informatique
  4. Utiliser l’outil avec des règles de prudence