ChatGPT, développé par OpenAI, a suscité de vives critiques de la part des instances gouvernementales, des experts en protection des données et des utilisateurs, notamment en raison de ses politiques de gestion des données. Il est donc légitime de s’interroger sur les informations que ce chatbot IA recueille et sur l’usage qui en est fait.
Afin d’éclaircir cette question, nous allons examiner en détail la politique de confidentialité et les conditions d’utilisation de ChatGPT, afin de déterminer les types de données collectées et les risques potentiels pour les utilisateurs.
Quelles données sont conservées par ChatGPT ?
La politique de confidentialité de ChatGPT offre un aperçu complet des pratiques de conservation des données. Les informations sont principalement collectées à partir de trois sources :
- Les informations de compte que vous fournissez lors de l’inscription ou de la souscription à un abonnement premium.
- Les données que vous saisissez directement dans le chatbot.
- Les informations d’identification extraites de votre appareil ou navigateur, telles que votre adresse IP et votre localisation.
La majorité des données enregistrées ne sont pas intrinsèquement alarmantes. Leur collecte est relativement standard et comparable à celle de la plupart des plateformes en ligne sur lesquelles vous possédez un compte.
Le véritable enjeu réside dans la collecte des données issues de vos échanges avec ChatGPT. Il est en effet aisé de divulguer involontairement des informations personnelles lors de l’utilisation de l’IA. Un simple oubli de censure dans un document soumis à relecture peut avoir de sérieuses conséquences.
Informations relatives à votre compte et à la facturation
OpenAI conserve votre nom, vos coordonnées, vos identifiants de connexion, vos données de paiement et l’historique de vos transactions. Ces dernières ne sont enregistrées que si vous possédez un compte premium. Ces informations sont élémentaires et leur collecte est courante sur la plupart des sites web proposant des comptes utilisateurs.
De plus, si vous contactez l’entreprise par e-mail ou via son service client, votre nom, votre adresse e-mail et le contenu de votre message seront enregistrés. Les informations partagées sur les réseaux sociaux, y compris les commentaires sur leurs pages, sont également conservées.
Informations concernant votre appareil
ChatGPT collecte automatiquement certaines données à partir de votre appareil et navigateur, notamment votre adresse IP, votre emplacement, votre type de navigateur, la date et l’heure de début et la durée de votre session. Le nom et le système d’exploitation de votre appareil sont également enregistrés.
OpenAI utilise des cookies pour suivre votre activité de navigation, à la fois dans la fenêtre de discussion et sur son site web. Cette collecte de données est principalement destinée à l’analyse et à la compréhension de votre interaction avec ChatGPT.
Données saisies dans le chat
ChatGPT enregistre et archive l’intégralité des transcriptions de vos conversations. Toutes les informations que vous communiquez, y compris les données personnelles, sont ainsi conservées. Il est facile de commettre des erreurs et de divulguer des informations sensibles sans le réaliser, notamment lors de la relecture de documents personnels ou professionnels.
L’utilisation de ChatGPT dans un cadre professionnel est d’autant plus risquée qu’il enregistre les informations confidentielles relatives à votre entreprise, vos employés et vos clients. Par exemple, la collecte d’avis et leur organisation sous forme de rapport peut vous amener à divulguer involontairement les coordonnées de vos clients.
La politique de confidentialité stipule que si vous transmettez des données personnelles via le chat, vous devez fournir aux personnes concernées les informations nécessaires sur la protection de la vie privée. Vous devez également obtenir leur consentement et être en mesure de prouver à OpenAI que le traitement de ces données est conforme à la loi. De plus, si vous saisissez des informations définies comme privées par le RGPD, vous devez contacter OpenAI pour mettre en place un addendum sur le traitement des données.
ChatGPT enregistre-t-il vos conversations ?
Effectivement, ChatGPT enregistre tout ce que vous y saisissez. Sa politique de confidentialité précise que l’utilisation du chatbot implique la collecte de données personnelles à partir de vos messages, des fichiers que vous téléchargez et des commentaires que vous fournissez. Ce faisant, ChatGPT représente un potentiel risque de cybersécurité.
Vos conversations peuvent être consultées par des formateurs en IA dans le but d’améliorer le chatbot et d’enrichir son apprentissage. Vos données personnelles sont donc non seulement exposées, mais également utilisées au profit d’OpenAI.
Il est important de noter qu’OpenAI offre aux utilisateurs un certain contrôle sur leur vie privée. Suite à des modifications apportées en avril 2023, une nouvelle fonctionnalité permet de désactiver facilement l’historique des discussions via le menu des paramètres (Paramètres > Contrôles des données > Historique des discussions et formation).
Lors d’une annonce d’OpenAI, il a été précisé que lorsque l’historique des discussions est désactivé, l’entreprise ne conserve les conversations que pendant 30 jours. Passé ce délai, les conversations sont définitivement supprimées. Elles ne sont examinées que lorsqu’une surveillance est nécessaire pour détecter des abus ou des comportements inappropriés.
Qui a accès à vos données ChatGPT ?
Vos informations personnelles peuvent être accessibles à de nombreuses personnes et entités. Selon sa politique de confidentialité, OpenAI partage ces données avec :
- Des fournisseurs et prestataires de services.
- D’autres entreprises.
- Des filiales.
- Des entités juridiques.
- Des formateurs en IA qui analysent vos conversations.
OpenAI fournit des informations vagues concernant l’identité des personnes ayant accès à vos données et les raisons de ce partage. L’entreprise indique que les informations personnelles peuvent être transmises à des fournisseurs et prestataires de services pour répondre aux besoins de l’entreprise et exécuter certaines fonctions. Ces fournisseurs incluent les services d’hébergement web, les services cloud, d’autres fournisseurs informatiques, des organisateurs d’événements, des services de messagerie et des services d’analyse.
D’autres types de partages sont plus directs. OpenAI peut être amenée à partager vos données avec d’autres entreprises impliquées dans des transactions, réorganisations, faillites ou mises sous séquestre. Les données peuvent également être communiquées aux forces de l’ordre afin de protéger les utilisateurs, le public ou l’entreprise elle-même contre toute responsabilité juridique.
OpenAI précise que vos informations peuvent être divulguées aux sociétés avec lesquelles elle est affiliée. Aucune autre précision n’est fournie à ce sujet, si ce n’est que ses filiales doivent respecter la même politique de confidentialité dans le cadre du traitement de vos données.
Enfin, les conversations sont analysées par l’équipe de formation d’OpenAI dans le but d’améliorer l’IA. Cette équipe s’assure également que le contenu de vos discussions est conforme aux politiques de l’entreprise. Ainsi, les formateurs peuvent visualiser les informations personnelles que vous transmettez dans le chatbot.
Les pressions réglementaires vont-elles contraindre OpenAI à renforcer sa politique de confidentialité ?
En mai 2023, l’Italie a interdit ChatGPT pour violation présumée du RGPD. Bien que l’interdiction ait été levée depuis, les organismes de réglementation du monde entier exercent une pression croissante sur OpenAI, exigeant davantage de transparence et de responsabilité.
Au même moment, les autorités canadiennes chargées de la protection de la vie privée, notamment celles du Québec, de la Colombie-Britannique et de l’Alberta, ont décidé d’ouvrir une enquête conjointe sur OpenAI. L’objectif est de déterminer si la collecte de données par son produit phare est conforme à la loi. Dans une déclaration conjointe du Commissariat, les agences ont précisé qu’elles entendaient enquêter sur les modalités et les raisons de la collecte de données par ChatGPT, sur le respect de ses « obligations » en matière de transparence et sur l’obtention d’un « consentement significatif » des utilisateurs.
En juillet 2023, les États-Unis ont également lancé une enquête sur OpenAI. Selon Le Washington Post, la Federal Trade Commission (FTC) enquête afin de déterminer si OpenAI a enfreint les lois existantes sur la protection des consommateurs lors de la collecte d’informations sur internet. L’enquête porte également sur les accusations selon lesquelles ChatGPT diffuserait des informations « fausses, trompeuses, désobligeantes ou préjudiciables ».
La FTC a également demandé à OpenAI de s’exprimer sur l’incident de sécurité survenu en mars 2023. En raison d’un bug du système, certains utilisateurs ont pu visualiser l’historique des discussions et les informations de paiement d’autres utilisateurs. Le PDG d’OpenAI, Sam Altman, a déclaré dans un message sur les réseaux sociaux que son entreprise allait coopérer avec l’agence. Il a néanmoins souligné que ChatGPT respectait la loi.
Il est fort probable que d’autres gouvernements lancent des enquêtes similaires à l’avenir. L’impact de ces actions sur l’approche d’OpenAI en matière de protection des données reste à déterminer.
ChatGPT : ami ou ennemi ?
ChatGPT et OpenAI collectent de nombreuses informations personnelles. Certaines de ces données, comme les informations de compte et d’appareil, sont assez courantes et similaires à celles collectées par de nombreux autres sites web.
Cependant, le chatbot enregistre également l’intégralité des données personnelles que vous saisissez. Cela constitue un véritable risque pour la vie privée, d’autant plus que ces informations sont accessibles aux formateurs en IA.
Il n’est pas nécessaire de renoncer complètement à l’utilisation de ChatGPT, mais il est impératif de prendre des mesures pour vous protéger. La plus importante d’entre elles consiste à supprimer toute information personnelle de vos requêtes avant de les soumettre.