IA générative et RGPD : L’Autorité italienne sanctionne OpenAI d’une amende de 15 millions d’euros

17.01.2025

La décision de l’Autorité de protection des données italienne (Autorita Garante per la protezione dei dati personali), publiée le 20 décembre 2024, de prononcer une amende de 15 millions d’euros à l’encontre d’OpenAI pour non-conformité au RGPD de ChatGPT, dans sa version initiale, est une première : il s’agit en effet de la première condamnation pour violation du RGPD en matière d’IA générative.

Ce n’est pas la première fois que l’Autorité italienne s’illustre dans le contrôle d’OpenAI. Elle s’était déjà montrée incisive en interdisant ChatGPT le 30 mars 2023 (Mesure d’urgence, M. Clément-Fontaine et Cabinet Twelve avocats, Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 3 avr. 2023, Dalloz actualité, 11 avr. 2023). L’Autorité italienne s’était intéressée à l’entreprise américaine à la suite de la publication de plusieurs articles de presse faisant état de bugs techniques qui communiquaient à un utilisateur les titres de discussion (prompts) des autres utilisateurs du service. Plusieurs violations du RGPD avaient été alors décelées. Cette interdiction avait conduit OpenAI à s’engager à se mettre en conformité avec le RGPD et elle avait été levée, le 11 avril 2023, par une ordonnance qui comportait toute une série de mesures à prendre. Parallèlement, le Comité européen de la protection des données (CEPD) lançait en avril 2023 un groupe de travail dédié à ChatGPT (M. Musson, Dalloz actualité, 28 juin 2024). En janvier 2024, la Garante a informé OpenAI de l’ouverture d’une procédure à son encontre. Les correctifs mis en place par OpenAI et la volonté de coopérer dont a fait preuve OpenAI tout au long de la procédure ont d’ailleurs été prises en considération par l’Autorité de contrôle mais elles n’ont pas été jugées suffisantes pour la dispenser de l’importante amende (M. Clément-Fontaine et Cabinet Twelve avocats, Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 27 mai 2024, Dalloz actualité, 4 juin 2024).

L’Autorité italienne, dont la décision mérite d’être lue en intégralité, reproche à Open AI les violations suivantes.

Fuite de données : il est reproché à OpenAI de ne pas avoir notifié à l’Autorité italienne la fuite de données ayant eu lieu en mars 2023 (RGPD, art. 33). Elle l’avait notifiée à l’Autorité irlandaise alors que le mécanisme du guichet unique ne pouvait pas s’appliquer (v. infra).

Base légale du traitement des données aux fins de la formation de l’outil d’IA : l’Autorité italienne considère que la base légale et son adéquation n’ont pas été identifiées avant le lancement du service d’IA. Elle retient en conséquence une violation des articles 5, §§ 2 et 6, du RGPD. On remarquera que cette décision a été rendue publique juste après que le Comité européen de protection des données a, à la demande de l’Autorité de protection des données irlandaises, rendu un avis dans lequel il affirme que l’intérêt légitime peut constituer une base légale valable pour l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA, permettant ainsi de ne pas obtenir systématiquement le consentement des personnes concernées (Avis 28/2024, Panorama rapide de l’actualité « Technologies de l’information » des semaines des 16, 23 et 30 décembre 2024, M. Clément-Fontaine et Cabinet Twelve Avocats, Dalloz actualité, 7 janv. 2025).

Politique de confidentialité : la violation de l’article 5, § 1, a), et des articles 12 et 13 du RGPD est retenue, en raison du manque de transparence du système de traitement des données, notamment des données relatives aux utilisateurs des services, ce qui a pour effet d’empêcher les personnes concernées d’exercer leurs droits.

Vérification de l’âge : l’Autorité retient la violation des articles 24 et 25, § 1, du RGPD, faute pour OpenAI d’avoir mis en place des systèmes appropriés de vérification de l’âge des personnes. L’utilisation de ChatGPT exposait les enfants de moins de treize ans « à des réponses inadaptées à leur niveau de développement et de conscience de soi ».

Production de données inexactes (hallucination) : l’Autorité italienne relève que cette question est loin d’être résolue, que les mesures mises en œuvre par OpenAI sont le résultat d’un processus constant et continu, que le système d’IA est en développement continu de telle sorte que la violation est toujours existante, de telle sorte qu’elle ne relève plus de sa compétence (v. infra).

Mesures complémentaires : l’Autorité italienne a également enjoint à OpenAI de lancer une campagne de communication de six mois dans les médias (télévision, radio, journaux, internet). Cette mesure vise à sensibiliser le public au fonctionnement des outils basés sur l’intelligence artificielle générative ainsi qu’à leur rappeler les droits que consacre le RGPD (droit de rectification, droit d’opposition…). La décision de sanction précise que le contenu de la campagne doit être convenu avec la Garante. Open AI avait déjà à la demande de l’Autorité italienne (ord. d’avr. 2023) mis en œuvre une première campagne de communication mais l’Autorité ne l’avait pas jugée satisfaisante, notamment en raison de l’absence de concertation.

Compétence de l’Autorité : l’Autorité italienne a pu se reconnaître compétente car OpenAI n’avait pas d’établissement dans l’Union européenne au moment où l’enquête a débuté. Ce ne serait plus le cas aujourd’hui, OpenAI s’étant installé à Dublin (OpenAI Ireland) avec effet au 15 février 2024. Désormais le système du guichet unique conduira à désigner l’Autorité irlandaise comme Autorité cheffe de file (RGPD, art. 60 s.). En l’espèce, l’Autorité italienne retient sa compétence pour toutes les violations alléguées du RGPD antérieures au 15 février 2024 et n’ayant pas de caractère continu. La plupart des violations sont considérées comme ayant été commises le 30 novembre 2022 au moment du lancement de ChatGPT. La solution peut être discutée : dans son avis 8/2019 sur la compétence d’une Autorité de contrôle en cas de changement de circonstances concernant l’établissement principal ou unique, le CEPD indiquait que la création d’un établissement principal ou unique ou son transfert d’un pays tiers vers l’EEE (dans une procédure qui a été initialement engagée sans coopération) au cours de la procédure permettra au responsable du traitement de bénéficier du guichet unique (pt 30 de l’avis). Il n’est pas indifférent de rappeler qu’à la suite de l’Autorité italienne, quatorze autres Autorités, dont la CNIL, ont ouvert des procédures à l’encontre d’OpenAI. Elles vont sans nul doute scruter tant la décision italienne que l’avis 28/2024 du CEPD.

Et maintenant ? Cette décision est loin de laisser indifférent. OpenAI a qualifié la décision de disproportionnée et a indiqué son intention de faire appel en précisant que l’amende représente près de vingt fois les revenus qu’elle a réalisés en Italie au cours de cette période. Elle s’engage à offrir une IA qui respecte les droits des utilisateurs en matière de protection de la vie privée. Au-delà d’OpenAI, le montant de l’amende interroge sur la position du curseur : où le placer entre le strict respect du RGPD et la volonté de stimuler l’innovation. À cet égard, la défense d’Open AI mérite d’être mentionnée : elle indique avoir été surprise par le succès de ChatGPT, elle n’avait pas anticipé le nombre élevé d’utilisateurs ; l’Italie n’était pas un pays cible ce qui peut expliquer que l’interface du service n’ait été disponible qu’en anglais ; ses ressources humaines étaient limitées et elle a été submergée de demandes d’informations de la part de nombreuses Autorités de protection des données dans un délai très court. Elle indique également avoir, pour faire face au succès important et rapide de ChatGPT, entrepris de nombreuses mises en conformité.