Vers une harmonisation européenne de l’application du RGPD sur les agents d’IA conversationnels

Comme le prévoit la loi existante, les régulateurs établissent des recommandations et des lignes directrices pour préciser l’application de la réglementation aux nouvelles technologies et sanctionnent au besoin les acteurs du secteur de l’IA.

Ainsi, au titre de l’article 70 du RGPD, le Comité Européen de la Protection des Données (CEPD) a créé, en avril 2023, un groupe de travail relatif à ChatGPT afin de favoriser la coopération entre les autorités nationales de protection des données personnelles et échanger des informations sur les éventuelles mesures d’exécution prises par celles-ci [64]

La création de ce groupe de travail a fait suite aux sanctions déjà émises par l’autorité italienne de protection des données vis-à-vis de ChatGPT, ainsi qu’aux enquêtes ouvertes par d’autres autorités.

Ainsi, à fin mai 2023, l’autorité française de protection des données (la CNIL) a ouvert trois enquêtes concernant ChatGPT :

• une suite à une plainte de l’avocate Zoé Villain, qui avait, sans réponse ni succès, demandé à OpenAI l’accès à ses données personnelles ;

• deux suites aux plaintes respectives du développeur David Libeau et du député Eric Bothorel, signalant tous deux le caractère erroné des informations produites par l’outil à leur sujet [65] .

Au-delà du groupe de travail européen sur le sujet, la CNIL a indiqué s’être rapprochée de l’autorité de protection des données italienne dans le cadre de ses enquêtes. Si cette dernière a été la première à agir, on peut s’attendre à d’autres sanctions de la part de ses homologues européens, mais également à des lignes directrices sur le sujet.

[64] EDPB – EDPB resolves dispute on transfers by Meta and creates task force on Chat GPT, 13 avril 2023.

[65] Anne Soetemondt, Noémie Lair, ChatGPT : un député de la majorité porte plainte auprès de la CNIL et organise un séminaire, 12 avril 2023, RadioFrance.