L’utilisation problématique de la donnée par Chat GPT – regards croisés Data / IP

Un article de la Grande Bibliothèque du Droit, le droit partagé.
France > Droit privé >  Droit du numérique  >  Propriété  intellectuelle 

Pierre Pérot, Stéphanie Lapeyre, avocats au barreau de Paris [1]
Avril 2023


La législation européenne va-t-elle freiner le développement de l'IA ? L'actualité récente autour de Chat GPT soulève la question de l'utilisation de la donnée - qu'elle soit à caractère personnel ou non - par ce type d'outil. Rapide aperçu des questions soulevées en matière de conformité au RGPD et de respect des droits d’auteur.

L’utilisation des données personnelles par Chat GPT : une violation du RGPD ?

Les pratiques de Chat GPT sont dans le collimateur des autorités de protection des données personnelles rendant l’avenir de ce robot conversationnel en Europe incertain. Après son blocage temporaire en Italie et la menace d'une amende, c’est désormais la CNIL en France qui est saisie du sujet suite à la réception de deux plaintes. L’Irlande et l’Allemagne se seraient également, tout comme la France, rapprochées de leur homologue italien pour échanger sur les constats qui ont été faits.

Plusieurs manquements au RGPD sont pour le moment reprochés à Open AI, l’entreprise américaine à l’origine du logiciel :


  • Une information insuffisante des utilisateurs dont les données sont collectées, en violation des articles 12, 13 et 14 du RGPD : Chat GPT ne les informerait en effet pas suffisamment clairement de la manière dont leurs données à caractère personnel sont utilisées et notamment du fait que les conversations qu'ils entretiennent avec ­Chat GPT servent à alimenter et perfectionner l'algorithme. Or la transparence est l’une des pierres angulaires du RGPD à laquelle les autorités de contrôle attachent une particulière importance.


  • Une absence de base légale pour le traitement des données, en violation de l’article 6 du RGPD : la collecte des données à caractère personnel par Chat GPT ne se fonderait sur aucune des six bases légales posées par le RGPD dans la mesure notamment où :


  1. Le consentement des utilisateurs au traitement de leurs données n’est pour le moment pas demandé,
  2. Le traitement mis en œuvre ne répond à aucune obligation légale ou nécessité contractuelle, et
  3. Les intérêts légitimes poursuivis par Open AI contrebalanceraient difficilement les atteintes portées aux droits et libertés des individus au regard en particulier du volume et de la nature des données traitées et des conséquences potentielles du traitement.


  • Un traitement de données inexactes, en violation de l’article 5 du RGPD : plusieurs tests auraient révélé que les informations délivrées par le robot ne correspondent pas toujours aux évènements factuels (données à caractère personnel erronées ou obsolètes).


  • L’absence de filtre pour vérifier l’âge des utilisateurs, exposant les enfants à la réception de réponses inappropriées à leur âge.

D’autres manquements sont également évoqués par les autorités ou au sein des plaintes reçues comme l’absence de mesures de sécurité suffisantes ou encore le non-respect des droits des personnes (notamment droit d’accès, de suppression des données et d’opposition au traitement).

L’Europe n’est pas la seule à s’inquiéter de l’utilisation des données à caractère personnel faite par Chat GPT ; en début de semaine, le Commissariat à la protection de la vie privée du Canada a annoncé qu’il ouvrait lui aussi une enquête sur Open AI.

Si Chat GPT est pour le moment la solution ciblée par les autorités en raison de sa popularité, c’est plus généralement le fonctionnement des plateformes d’IA qui pourrait être remis en question et qui devra se façonner en tenant compte des règles applicables en matière de protection des données à caractère personnel.

L’utilisation des données non-personnelles par Chat GPT : quel respect des droits d’auteur ?

Les problématiques relatives aux données utilisées par les IA, telles que Chat GPT, ne se réduisent pas aux données à caractère personnel et concernent également la question des données protégées par le droit de la propriété intellectuelle et notamment par le droit d’auteur.

L’action de groupe engagée en Californie à l’encontre des sociétés Stability AI, Midjourney et DeviantArt sur le fondement de la contrefaçon en témoigne : le sort de l’utilisation de contenus protégés par les IA n’est pas réglé et suscite de nombreux débats. Des ayants droits reprochent aux IA précitées d’utiliser de manière abusive des œuvres protégées au titre du droit d’auteur durant la phase dite « d’entraînement », ce qui serait constitutif de contrefaçon.

La contrefaçon reposerait donc sur la reproduction non autorisée de contenus protégés en vue de créer la base de données nécessaire au fonctionnement de l’IA.

Au sein de l’Union européenne, il sera intéressant de voir quelles seront les réponses apportées par les tribunaux, notamment au regard de la règlementation issue de la Directive n°2019/790 sur le droit d’auteur et les droits voisins. La directive prévoit, en effet, en son article 4 (transposé en France à l’article L122-5-3 du CPI), une nouvelle exception en faveur du data mining concernant les « copies ou reproductions numériques d'œuvres auxquelles il a été accédé de manière licite (…) en vue de fouilles de textes et de données menées à bien par toute personne, quelle que soit la finalité de la fouille ».

La directive prévoit qu’une telle exception ne s’applique qu’à la condition qu’il existe une possibilité d’opt out pour les titulaires de droits auprès des systèmes d’IA, leur permettant de réserver l’utilisation de leurs œuvres et autres contenus protégés. Les incertitudes demeurent cependant quant à l’effectivité d’un tel mécanisme d’opt out , au regard de la faible transparence du fonctionnement des IA.

En réponse aux nombreux débats suscités par le développement de l’IA et ses interactions avec le droit d’auteur, le Commissaire européen au Marché intérieur, M. Thierry Breton, a publié un communiqué le 31 mars 2023, dans lequel il indique que la création d’œuvres d’art par l’IA ne mérite pas une intervention législative spécifique et que la Commission n’envisage pas de réviser la directive susmentionnée.

Il formule également les observations suivantes :

  • L’exception introduite par la Directive n°2019/790 assure un juste équilibre entre la protection des titulaires de droit, notamment les artistes, et la facilitation de l’exploration de textes et de données, notamment par les développeurs d’IA ;
  • La règlementation actuelle permet aux titulaires de droits de refuser que leurs contenus soient utilisés pour l’exploration de textes et de données ;
  • La Commission continuera à suivre de près les questions que soulève le développement des systèmes d’IA, leur incidence sur les secteurs de la culture et de la création, et l’interaction avec le cadre juridique.