L’autorité italienne de protection des données (IDPA), également connue sous le nom de Garante, a infligé une amende de 15 millions d'euros (15,7 millions de dollars) à OpenAI et exigé le lancement d’une campagne publique de six mois après une enquête sur la collecte de données par le modèle d’intelligence artificielle phare de la société, ChatGPT.
Dans une déclaration publiée le 20 décembre, l'IDPA a révélé que son enquête avait montré qu’OpenAI n’avait pas informé l’agence d’une fuite de données survenue en mars 2023.
Le régulateur a indiqué qu'OpenAI avait également « traité les données personnelles des utilisateurs » pour entraîner son chatbot sans avoir préalablement identifié une « base légale adéquate » pour l'action, violant ainsi le « principe de transparence et les obligations d'information connexes envers les utilisateurs. »
Source: Garante Privacy
Selon l'IDPA, OpenAI n’a pas mis en place de mécanismes suffisants pour vérifier l’âge des utilisateurs et empêcher les mineurs d’accéder à ses services.
« De plus, OpenAI n’a pas fourni de dispositifs de vérification de l’âge, ce qui expose les mineurs de moins de 13 ans à des réponses inadaptées à leur niveau de développement et de conscience de soi », a déclaré l’autorité.
Dans le cadre de ses mesures correctives et punitives, l'IDPA a ordonné à OpenAI de mener une campagne de sensibilisation publique de six mois à travers la radio, la télévision, les journaux et Internet, afin de favoriser « la compréhension publique et la prise de conscience du fonctionnement de ChatGPT. »
« En particulier sur la collecte des données des utilisateurs et des non-utilisateurs pour l’entraînement de l’intelligence artificielle générative, ainsi que sur les droits des parties concernées, y compris ceux d’opposition, de rectification et de suppression. », a précisé l'IDPA.
À l’issue de cette campagne, l'IDPA souhaite que les utilisateurs sachent comment s’opposer à l’utilisation de leurs données pour entraîner une IA générative et exercer leurs droits en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne.
En vertu du RGPD, les entreprises peuvent être sanctionnées d’une amende allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial en cas de violation.
L'IDPA a également indiqué que l’attitude collaborative d’OpenAI durant l’enquête avait permis de réduire le montant de l’amende.
Pendant l'enquête, OpenAI a déplacé son siège européen en Irlande. L'IDPA a déclaré que son homologue irlandais, l'Autorité irlandaise de protection des données (DPC), est devenue l'autorité de contrôle principale pour poursuivre toute enquête.
L'enquête de l'IDPA a débuté en mars 2023, et l'agence a déclaré être parvenue à sa conclusion après avoir examiné l'avis du 18 décembre du Comité européen de la protection des données (EDPB) sur l'utilisation des données personnelles pour développer et déployer des modèles d'IA.
En mars 2023, l’Italie avait été le premier pays occidental à bloquer temporairement ChatGPT pour des préoccupations liées à la vie privée. Quelques semaines plus tard, ce blocage a été levé après qu’OpenAI a adopté plusieurs mesures de transparence. Le 29 avril, le chatbot a de nouveau été rendu accessible en Italie.
OpenAI n’a pas répondu immédiatement aux demandes de commentaires.