Rapport du groupe de travail du Comité européen de la protection des données consacré à ChatGPT : quelle compatibilité avec le RGPD ?

Suite à des litiges avec la société Meta, chargée notamment des services Facebook et OpenAI, le Comité européen de la protection des données (ci-après, l’EDPB) a créé le 13 avril 2023 une « task force » spécifique quant à l’application des dispositions du règlement général sur la protection des données (ci-après, le RGPD) à ChatGPT, créée par OpenAI (EDPB, Le comité européen de la protection des données règle le litige concernant les transferts de données par Meta et crée une task force consacrée à ChatGPT, 13 avr. 2023). L’essor rapide de ce service d’intelligence artificielle conversationnelle et générative, dans l’ensemble de la société, justifie cette coopération entre les autorités nationales de contrôle et l’échange d’informations avec, en toile de fond, la nécessité d’identifier les difficultés et de trouver des solutions coordonnées entre chaque État membre pour faire appliquer le règlement. Pour cela, un questionnaire utilisé par les autorités nationales de contrôle – annexé au document commenté – a servi de base aux échanges : OpenAI a notamment pu expliquer les mesures mises en place, selon lui, pour respecter les principes relatifs au traitement de données personnelles.

Dans son rapport rendu le 23 mai 2024, l’EDPB insiste sur la nécessité pour ce type de service de respecter le RGPD en ce qu’un nombre considérable de données – incluant des données personnelles – sont utilisées pour entraîner et utiliser les algorithmes : elle mentionne à ce titre le principe de responsabilité résultant de l’article 5(2) du texte, incombant aux responsables de traitement et souligne que « l’impossibilité technique ne saurait être invoquée pour justifier le non-respect de ces exigences », particulièrement au regard du principe de protection by design des données.

Les résultats des enquêtes conduites par les autorités...