ChatGPT en entreprise : une bombe à retardement juridique ?

Me Sadry PORLON ​Avocat associé chez PORLON AVOCAT, Docteur en Droit privé

1. ChatGPT respecte-t-il la vie privée de ses utilisateurs et est-il conforme aux réglementations telles que le RGPD et la loi Informatique et libertés ?

Me Porlon : Le 31 mars 2023, l’équivalent de la Commission nationale informatique et libertés (CNIL) en Italie avait demandé la suspension de ChatGPT sur son territoire. Elle avait fondé sa décision sur l’absence de vérification de l’âge des mineurs, le manque d’informations données aux utilisateurs et l’absence de base légale justifiant la collecte et le stockage massif des données. Près d’un mois plus tard, soit le 28 avril dernier, l’institution Garante per la protezione dei dati personali a rétabli le service suite à  des améliorations significatives au regard des motifs de suspension qu’elle avait préalablement mis en avant. 

On peut donc deviner que ChatGPT est, à date, suffisamment conforme pour être autorisée à fonctionner en Italie, mais rien ne dit qu’il le soit parfaitement au regard du droit des données à caractère personnel et que de nouvelles mises en demeure de modifier des points ne lui parviennent pas dans les prochains mois à mesure que les autorités nationales de contrôle auront pu prétendre avoir connaissance des subtilités de son fonctionnement dans les moindres détails.

2. Quelles sont les conséquences des manquements aux règles de protection des données et quelles sont les mesures prises par les autorités compétentes pour garantir la protection de la vie privée des utilisateurs de ChatGPT en France et dans le monde ?

Me Porlon : Concernant les mesures prises par les autorités compétentes dans l’Union Européenne, cela passe le plus souvent par des mises en demeure de corriger les défauts ou lacunes constatés mais cela peut aussi donner lieu à suspension pure et simple de l’outil jusqu’à ce qu’il intègre les mesures nécessaires (cf. exemple précédent).

3. Quelle est la position de la législation sur les droits d’auteur en ce qui concerne les contenus générés par une intelligence artificielle telle que ChatGPT ?

Me Porlon : Dans l’absolu, la reprise de contenu d’un tiers pour en faire ce que l’on pourrait appeler une œuvre dérivée pourrait être soumise à droit d’auteur mais là où l’IA est puissante c’est qu’elle reformule une somme de données considérables et croisées sans citer de sources au point de donner du mal à ceux qui voudraient trouver des ressemblances entre leur contenu et celui généré par l’IA.

Donc théoriquement, reprendre puis reproduire partiellement ou totalement une œuvre pose un problème de droit d’auteur de celui dont le contenu (au sens d’une œuvre) est repris, mais, notamment en matière de contenus textuels, la preuve de la reprise va être compliquée à démontrer. C’est réputé plus « simple » à prouver en matière de photos que cela ne l’est pour du texte. Deux procès ont d’ailleurs été intentés coup sur coup à des éditeurs d’IA. Dans la première affaire, l’agence photo Getty accusait Stable Diffusion d’avoir utilisé sa base d’images illégalement. Elle lui reprochait également de ne lui pas avoir demandé une licence alors que Getty propose des licences pour les intelligences artificielles contre rémunération.

Dans la seconde affaire, trois artistes (Sarah Andersen, Kelly McKernan et Karla Ortiz) attaquaient Midjourney, Dreamup et Stable Diffusion. L’un d’entre eux relevait notamment les milliers de consignes données à l’IA Midjourney comportant son nom. Dans ce cas précis, à savoir l’emploi d’une image comportant clairement le nom de l’auteur (et donc une source) la preuve de l’emprunt semble plus difficilement contestable. Il faut, en effet, savoir que la contrefaçon de droit d’auteur n’est prouvée que lorsqu’on peut démontrer l’emprunt d’éléments significatifs de votre œuvre quand bien même il existerait quelques différences dans l’œuvre seconde dont vous êtes à l’origine. Or, quand vous entraînez votre IA à puiser dans un nombre incalculable d’œuvres, il est par nature plus difficile de démontrer que votre œuvre a été reproduite et donc de condamner pour contrefaçon l’auteur de cet emprunt partiel.

4. Dans le cadre de l’utilisation de ChatGPT en entreprise, recommandez-vous la réalisation préalable d’une analyse de risque ?

Me Porlon : Ce que l’on appelle une analyse d’impact n’est nécessaire que si l’outil est susceptible de présenter des risques élevés pour la vie privée des personnes qui l’utilisent. À mon sens, ChatGPT ne fait pas partie de cette catégorie d’application contrairement à ce que seraient par exemple un système de vidéo surveillance ou de reconnaissance faciale.

5. Comment l’employeur peut-il informer les salariés et le CSE de l’utilisation de ChatGPT dans le traitement de leurs données ?

Me Porlon : Idéalement, l’employeur devrait alerter ses salariés quant au fait qu’il déconseille fortement d’intégrer des documents professionnels dans l’outil ChatGPT au regard d’un éventuel risque de réutilisation de ce qui est communiqué à l’outil par le salarié.

Le principe de précaution pousserait donc à recommander que la charte informatique de l’entreprise (sauf à ce que cet outil soit utile et nécessaire pour l’entreprise et son développement) interdise de l’utiliser quand il s’agit d’y intégrer des documents internes à l’entreprise, qui plus est des documents comportant des données à caractère personnel pour lesquels la traçabilité de la circulation de ces données impose que seuls des sous-traitants présentant des garanties suffisantes se voient confier ces données.

6. Quel rôle doit jouer le Délégué à la protection des données (DPO) dans l’utilisation de ChatGPT en entreprise ?

Me Porlon : Le délégué à la protection des données est à ce titre celui qui va faire de la veille sur l’actualité de cet outil qu’est ChatGPT en adaptant ses recommandations internes aux résultats de ses recherches et aux décisions de justice qui seront prononcées à l’encontre de ces outils.

7. Quels sont les risques pour les utilisateurs de ChatGPT en entreprise en cas de violation des conditions générales ou de responsabilité civile ?

Me Porlon : Il faudrait lire au préalable les conditions générales de ChatGPT en détails mais généralement, si un salarié de l’entreprise devait les violer et que cela devrait avoir des conséquences pour le fonctionnement même d’Open IA qui édite ChatGPT (ex : suite à une tentative d’accès frauduleux au système d’information de ChatGPT ou encore au regard d’une entrave au fonctionnement de l’IA provoquée par le salarié depuis l’entreprise où il travaille), il serait alors possible d’envisager de rechercher la responsabilité de l’entreprise identifiée suite à ces infractions.