ChatGPT et RGPD : ce que dit la CNIL

L’irruption de ChatGPT dans le paysage numerique a constitue un evenement majeur pour la protection des donnees personnelles en Europe. Depuis la mise a disposition publique de ChatGPT par OpenAI en novembre 2022, les autorites europeennes de protection des donnees se sont saisies de la question de la conformite de ce service au RGPD. En France, la CNIL a engage un travail de fond qui a abouti a la publication de recommandations detaillees, applicables non seulement a ChatGPT mais a l’ensemble des systemes d’IA generative.

Cet article analyse les positions de la CNIL sur la conformite de ChatGPT au RGPD, en s’appuyant sur ses recommandations, ses fiches pratiques et ses actions de controle.

Le contexte : la CNIL face a l’IA generative

Les premieres actions en Europe

L’Italie a ete la premiere a agir : le 31 mars 2023, l’autorite italienne de protection des donnees (Garante) a ordonne la suspension temporaire de ChatGPT en Italie, invoquant l’absence de base legale pour la collecte de donnees d’entrainement, l’absence d’information aux personnes, l’absence de verification de l’age, et l’inexactitude des donnees generees. OpenAI a retabli le service en Italie apres avoir mis en place des mesures correctives.

Cet episode a accelere la mobilisation des autorites europeennes. Le Comite europeen de la protection des donnees (CEPD) a cree une task force dediee a ChatGPT pour coordonner les approches nationales et eviter la fragmentation reglementaire.

L’approche de la CNIL : accompagnement et controle

La CNIL a adopte une approche en deux temps. D’abord, un travail d’analyse et de publication de recommandations detaillees pour clarifier le cadre juridique applicable. Ensuite, des actions de controle pour verifier la conformite effective des fournisseurs d’IA generative. Plusieurs plaintes ont ete recues par la CNIL concernant ChatGPT, et des controles ont ete engages.

Les recommandations de la CNIL sur l’IA generative

La base legale pour l’entrainement des modeles

La question centrale est celle de la base legale au sens de l’article 6 du RGPD pour l’entrainement des grands modeles de langage sur des corpus contenant des donnees personnelles. La CNIL a analyse les differentes bases legales envisageables :

L’interet legitime (article 6.1.f) : la CNIL considere que l’interet legitime peut constituer une base legale valable pour l’entrainement de modeles d’IA generative sur des donnees publiquement accessibles, sous reserve d’une mise en balance rigoureuse. L’analyse doit verifier que l’interet poursuivi (developpement d’un modele performant) est legitime, que le traitement est necessaire a cet interet, et que les droits et interets des personnes ne prevalent pas.

Les facteurs a prendre en compte dans la mise en balance incluent le caractere public des donnees, les attentes raisonnables des personnes, les mesures de minimisation (filtrage, anonymisation partielle), et l’existence d’un mecanisme d’opposition effectif (opt-out).

Le consentement (article 6.1.a) : theoriquement possible mais pratiquement tres difficile a mettre en oeuvre a l’echelle des corpus d’entrainement des LLM, qui contiennent des milliards de documents provenant de millions de sources differentes.

L’execution contractuelle (article 6.1.b) : cette base legale n’est pas appropriee pour la phase d’entrainement, qui ne s’effectue pas dans le cadre d’un contrat avec les personnes dont les donnees sont utilisees. Elle peut en revanche etre invoquee pour le traitement des donnees saisies par l’utilisateur dans le cadre de l’utilisation du service.

L’information des personnes

La CNIL souligne l’obligation d’informer les personnes dont les donnees sont utilisees pour l’entrainement, conformement aux articles 13 et 14 du RGPD. Pour les donnees collectees directement (donnees saisies par les utilisateurs), l’information doit etre fournie de maniere claire et accessible dans la politique de confidentialite du service. Pour les donnees collectees indirectement (donnees aspirees du web pour l’entrainement), l’information peut etre fournie de maniere generale, compte tenu de l’impossibilite pratique d’informer individuellement chaque personne.

La CNIL recommande que les fournisseurs d’IA generative publient des informations detaillees sur la nature des donnees d’entrainement, les sources utilisees, les finalites du traitement, les mesures de protection mises en oeuvre, et les modalites d’exercice des droits.

Le droit d’opposition et le droit a l’effacement

La CNIL insiste sur la necessite de mettre en place des mecanismes effectifs permettant aux personnes d’exercer leurs droits au sens du RGPD. Concernant ChatGPT, plusieurs droits posent des difficultes techniques specifiques :

Le droit d’opposition : les personnes doivent pouvoir s’opposer a l’utilisation de leurs donnees pour l’entrainement du modele. OpenAI a mis en place un formulaire de demande d’opposition. La CNIL considere que ce mecanisme est necessaire mais doit etre facilement accessible et effectif.

Le droit a l’effacement : la suppression de donnees personnelles d’un modele deja entraine pose des defis techniques majeurs. Le “desapprentissage” (machine unlearning) est un domaine de recherche actif mais les techniques actuelles ne garantissent pas une suppression complete. La CNIL reconnait cette difficulte tout en exigeant que les fournisseurs mettent en oeuvre les mesures techniques les plus avancees disponibles.

Le droit de rectification : lorsqu’un modele genere des informations inexactes sur une personne (hallucinations), celle-ci doit pouvoir obtenir une rectification. La CNIL est attentive aux mecanismes mis en place par les fournisseurs pour traiter ces demandes.

La protection des donnees des utilisateurs

Au-dela de la phase d’entrainement, la CNIL s’interesse au traitement des donnees des utilisateurs de ChatGPT :

• Les conversations saisies par les utilisateurs constituent des donnees personnelles lorsqu’elles contiennent des informations identifiantes ;
• La reutilisation des conversations pour l’amelioration du modele doit reposer sur une base legale valide et faire l’objet d’une information claire ;
• Le parametre d’opt-out permettant aux utilisateurs de desactiver l’utilisation de leurs conversations pour l’entrainement doit etre facilement accessible ;
• La conservation des donnees doit etre limitee a ce qui est necessaire au regard des finalites poursuivies.

L’articulation avec le AI Act

Le double cadre reglementaire

ChatGPT est un systeme d’IA a usage general (GPAI) au sens du AI Act. A ce titre, il est soumis aux obligations du chapitre V du reglement, applicables depuis le 2 aout 2025. L’articulation entre le RGPD et le AI Act cree un double cadre reglementaire :

• Le RGPD regit le traitement des donnees personnelles (base legale, droits des personnes, transferts, securite) ;
• Le AI Act regit la mise sur le marche et l’utilisation du modele (documentation technique, transparence, gestion des risques, droit d’auteur).

OpenAI doit satisfaire aux exigences des deux textes de maniere cumulative. La conformite IA exige une approche integree couvrant les deux reglementations.

Les obligations specifiques GPAI

En tant que fournisseur de modele GPAI, OpenAI doit :

• Publier une documentation technique detaillee du modele ;
• Mettre a disposition des informations pour les fournisseurs en aval ;
• Mettre en place une politique de respect du droit d’auteur ;
• Publier un resume des donnees d’entrainement.

Si GPT-4 (ou ses successeurs) est qualifie de modele a risque systemique, des obligations supplementaires s’appliquent : evaluation du modele, attenuation des risques systemiques, notification des incidents graves.

Les actions de controle de la CNIL

Les plaintes recues

La CNIL a recu plusieurs plaintes individuelles et collectives concernant ChatGPT. Ces plaintes portent principalement sur le defaut d’information des personnes dont les donnees ont ete utilisees pour l’entrainement, la generation d’informations inexactes (hallucinations) sur des personnes identifiees, le traitement des donnees des utilisateurs, et l’absence de consentement pour la collecte de donnees d’entrainement.

La coordination europeenne

La CNIL participe activement a la task force ChatGPT du CEPD, qui travaille a l’harmonisation des approches nationales. Cette coordination est essentielle pour eviter que les fournisseurs d’IA generative ne soient soumis a des exigences divergentes selon les Etats membres. Le CEPD a publie un rapport sur les principaux enjeux identifies, servant de base aux actions nationales.

Les implications pratiques pour les entreprises utilisatrices

L’employeur comme deploiement

Les entreprises qui mettent ChatGPT a disposition de leurs salaries ou qui l’utilisent dans leurs processus internes sont qualifiees de “deploiements” (deployers) au sens du AI Act. A ce titre, elles sont soumises a des obligations propres :

• Information des personnes : les clients, candidats ou salaries dont les donnees sont traitees par ChatGPT doivent etre informes de cette utilisation ;
• AIPD : si l’utilisation de ChatGPT est susceptible d’engendrer un risque eleve pour les droits des personnes, une analyse d’impact est requise ;
• Encadrement contractuel : l’utilisation de l’API OpenAI doit faire l’objet d’un contrat incluant les clauses de sous-traitance de l’article 28 du RGPD ;
• Politique interne : une politique de gouvernance de l’IA doit encadrer les usages autorises et interdits.

Les bonnes pratiques

La CNIL recommande aux entreprises utilisatrices de ChatGPT de ne pas saisir de donnees personnelles sensibles dans le service, d’activer le parametre de non-utilisation des conversations pour l’entrainement, de former les collaborateurs aux risques et aux bonnes pratiques, et de documenter les usages et les bases legales dans le registre des traitements.

Les entreprises doivent egalement verifier les conditions contractuelles d’OpenAI concernant les transferts de donnees vers les Etats-Unis, sujet toujours sensible au regard du RGPD et de la jurisprudence Schrems II.

FAQ

ChatGPT est-il conforme au RGPD ?

A ce jour, aucune autorite europeenne de protection des donnees n’a prononce de decision definitive concluant a la conformite ou a la non-conformite globale de ChatGPT au RGPD. Plusieurs enquetes sont en cours, et OpenAI a mis en place des mesures correctives en reponse aux preoccupations des autorites (information des personnes, mecanisme d’opposition, parametre d’opt-out pour l’entrainement). La conformite de ChatGPT au RGPD depend de l’evaluation de multiples aspects (base legale, transparence, droits des personnes, transferts internationaux) et fera probablement l’objet de decisions specifiques dans les mois a venir.

Une entreprise peut-elle utiliser ChatGPT pour traiter des donnees personnelles de ses clients ?

Oui, mais sous conditions strictes. L’entreprise doit disposer d’une base legale pour le traitement, informer les personnes concernees, encadrer contractuellement la relation avec OpenAI (clauses de sous-traitance de l’article 28 du RGPD), evaluer les risques pour les personnes (AIPD si necessaire), et s’assurer que les transferts de donnees vers les Etats-Unis sont encadres. L’utilisation de l’API OpenAI avec des garanties contractuelles est generalement preferee a l’utilisation de l’interface grand public, qui offre moins de controle sur le traitement des donnees.

Quelles sanctions la CNIL peut-elle prononcer contre OpenAI ?

La CNIL dispose de l’ensemble de la palette de sanctions prevue par le RGPD : avertissement, mise en demeure, limitation temporaire ou definitive du traitement, injonction de mise en conformite, et amende administrative pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Pour OpenAI, dont le chiffre d’affaires mondial est en croissance rapide, l’amende maximale theorique serait calculee sur la base du pourcentage du chiffre d’affaires. La coordination avec les autres autorites europeennes est un element cle de la procedure.