Ce que le Préposé fédéral dit de ChatGPT et consorts

Depuis le début de l'année, les chatbots d'intelligence artificielle sont de plus en plus répandus. La manière dont ces programmes sont entraînés, par exemple en parcourant arbitrairement des pages Internet, devrait poser des problèmes en matière de protection des données. Qu'en pensez-vous? 

Quiconque utilise des programmes qui copient des données non publiques, comme par exemple des photos de visage sur des réseaux sociaux, enfreint les conditions d'utilisation des exploitants comme Meta. Ces derniers sont légalement tenus de faire respecter leurs conditions d'utilisation par des mesures techniques qui conduisent à la détection immédiate de tels programmes et à la prévention des fuites de données. 

La nouvelle LPD prévoit-elle des modifications affectant également l'utilisation de chatbots tels que ChatGPT et consorts?

La nLPD est formulée de manière technologiquement neutre. En vue du développement technologique, le législateur a toutefois ancré dans le nouveau droit des principes tels que le privacy by design et le privacy by default, qui obligent les responsables de traitement à s'assurer, dès le développement et l'utilisation projetée de nouvelles technologies, que les utilisatrices et utilisateurs bénéficient d'un maximum d'autodétermination numérique. Selon la nLPD, les développeurs et les fournisseurs d'IA doivent commencer par faire preuve de transparence quant aux objectifs et au fonctionnement de leurs programmes. Dans le cas d'applications communiquant directement avec les utilisateurs, ces derniers ont notamment le droit de savoir s'ils écrivent ou parlent avec une machine et si leurs données sont réutilisées pour améliorer les programmes auto-apprenants. Ces droits à l'information découlent des principes de transparence et de bonne foi de la protection des données selon l'article 6 nLPD. Les lignes directrices du Conseil de l'Europe sur l'IA et la protection des données du 25 janvier 2019 et le projet de loi sur l'IA de la Commission européenne, qui fait actuellement l'objet de nombreuses discussions, réaffirment ces droits à l'information. Le droit de s'opposer à certaines questions relatives au traitement automatique des données ou d'exiger que les décisions automatisées soient vérifiées par un être humain est étroitement lié au droit à la transparence, comme le prévoit déjà le droit renouvelé de la protection des données de l'UE et également la nLPD de la Suisse. En ce qui concerne la revendication des droits de codétermination, on oublie souvent que le droit de la protection des données impose aux utilisateurs une certaine responsabilité personnelle dans le cas de modèles commerciaux qui exigent des données en contrepartie de services gratuits. C’est notamment le cas pour les services dont on peut se passer dans le domaine du divertissement et du sport.

Pensez-vous qu'il sera nécessaire à l'avenir de réglementer spécifiquement ces chatbots afin de garantir la protection des données?

Deux courants sont actuellement visibles en Europe en ce qui concerne la réglementation de l'IA : d'une part, les efforts visant à limiter l'utilisation de l'IA ou du moins à la faire dépendre d'une autorisation des autorités, lorsque celle-ci présente des risques potentiellement élevés pour les droits de la personnalité de la population. C'est le cas du projet actuellement très médiatisé de la Commission européenne du 21 avril 2021 pour une législation-cadre visant à contrôler l'utilisation de l'intelligence artificielle présentant des risques élevés. De tels risques peuvent par exemple résulter de la véracité du contenu des services d'IA, sur laquelle le droit de la protection des données n'a que peu d'influence et qui ne relève donc pas de la compétence de la surveillance de la protection des données, selon la conception juridique suisse. En outre, les autorités de protection des données de la Confédération et des cantons ne disposent aujourd'hui ni des compétences juridiques, ni des connaissances spéciales et des moyens nécessaires pour autoriser les applications IA. A moyen terme, la question de compléter la législation sur la protection des données se pose également pour la Suisse, notamment dans l'optique d'obliger les concepteurs d'IA à respecter une "transparence by design" ancrée dans la loi. Sans compter que la réglementation de l'UE susmentionnée revendique un effet extraterritorial qui s'étend également à la Suisse. 

Outre les projets législatifs visant à limiter l'utilisation de l'intelligence artificielle, il existe malheureusement aussi en Europe des projets visant à promouvoir l'utilisation de l'IA à des fins de surveillance des communications privées et des déplacements de la population dans l'espace public. Ainsi, l'utilisation de la technologie de reconnaissance faciale dans l'espace public prévue par le législateur français pour l'organisation des Jeux olympiques de 2024. Ou encore le projet de surveillance des communications individuelles des citoyens en vue de prévenir les abus sur les enfants, publié par la Commission le 11 mai 2022. Dans les deux cas, les autorités européennes compétentes en matière de protection des données ont formulé des réserves que je comprends parfaitement. Bien que de telles atteintes à la vie privée et à l'autodétermination de la population soient inadmissibles en Suisse et ne soient pas prévues par la législation, l'inscription dans le droit fédéral d'une interdiction générale de telles pratiques serait à mon sens bienvenue. Comme l'a montré le débat public de ces dernières semaines sur l'utilisation prévue de capteurs dans les gares des CFF, la population suisse est à juste titre très sensible à l'utilisation de l'IA et de logiciels de reconnaissance faciale dans l'espace public. 

>> Lire la première partie de l’interview où le Préposé s’exprime sur la nLPD qui entrera en vigueur le 1er septembre.