Le principal régulateur de la vie privée de Google dans l’Union européenne a ouvert une enquête pour déterminer s’il s’est ou non conformé aux lois de protection des données du bloc en ce qui concerne l’utilisation des informations personnelles pour la formation de l’IA générative.
Plus précisément, il s’agit de déterminer si le géant de la technologie devait procéder à une évaluation de l’impact sur la protection des données (DPIA) afin d’examiner de manière proactive les risques que ses technologies d’IA pourraient présenter pour les droits et les libertés des personnes dont les informations ont été utilisées pour former les modèles.
Les outils d’IA générative sont connus pour produire des faussetés qui semblent plausibles. Cette tendance, combinée à la capacité de fournir des informations personnelles à la demande, crée de nombreux risques juridiques pour leurs créateurs. La Commission irlandaise de protection des données (DPC), qui supervise la conformité de Google avec le règlement général sur la protection des données (RGPD) de l’Union, est habilitée à imposer des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial d’Alphabet (l’entité mère de Google) pour toute violation confirmée.
Google a développé plusieurs outils d’IA générative, dont toute une famille de grands modèles de langage (LLM) à usage général, qu’il a baptisés Gémeaux (anciennement Barde). Elle utilise cette technologie pour alimenter les chatbots d’IA, notamment pour améliorer la recherche sur le Web. À la base de ces outils d’IA destinés aux consommateurs se trouve un LLM de Google appelé PaLM2, lancé l’année dernière lors de sa conférence de développeurs I/O.
La manière dont Google a développé ce modèle d’IA fondamental est ce sur quoi la DPC irlandaise dit enquêter, en vertu de l’article 110 de la loi irlandaise sur la protection des données de 2018, qui a transposé le RGPD en droit national.
La formation des modèles GenAI nécessite généralement de grandes quantités de données, et les types d’informations que les créateurs de LLM ont acquises, ainsi que la manière dont ils les ont obtenues et où ils les ont obtenues, sont de plus en plus examinés en relation avec une série de préoccupations juridiques, notamment le droit d’auteur et la confidentialité.
Dans ce dernier cas, les informations utilisées pour la formation de l’IA et contenant les informations personnelles des citoyens de l’UE sont soumises aux règles de protection des données du bloc, qu’elles aient été récupérées sur l’Internet public ou directement acquises auprès des utilisateurs. C’est pourquoi un certain nombre de LLM ont déjà été confrontés à des questions — et certaines mesures d’application du RGPD — en ce qui concerne le respect de la vie privée, y compris OpenAIle créateur de GPT (et ChatGPT) ; et Métaqui développe le Modèle d’IA de lama.
Elon Musk, propriétaire de X, a également attiré Réclamations RGPD et la colère du DPC concernant l’utilisation des données des personnes pour la formation de l’IA – menant à une procédure judiciaire et un engagement de X de limiter son traitement de données mais aucune sanction. Bien que X pourrait toujours faire face à une pénalité RGPD si la DPC détermine que son traitement des données des utilisateurs pour former son outil d’IA Grok a violé le régime.
L’enquête DPIA de la DPC sur GenAI de Google est la dernière action réglementaire en date dans ce domaine.
« L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle aurait pu avoir d’entreprendre une évaluation, conformément à l’article 35 du règlement général sur la protection des données (analyse d’impact relative à la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2) », a écrit le DPC dans un communiqué de presse.
Elle souligne qu’une analyse d’impact sur la protection des données peut être « d’une importance cruciale pour garantir que les droits et libertés fondamentaux des individus sont correctement pris en compte et protégés lorsque le traitement des données personnelles est susceptible d’entraîner un risque élevé ».
« Cette enquête statutaire fait partie des efforts plus vastes du DPC, en collaboration avec ses homologues régulateurs de l’UE/EEE (Espace économique européen), pour réglementer le traitement des données personnelles des personnes concernées de l’UE/EEE dans le développement de modèles et de systèmes d’IA », a ajouté le DPC, faisant référence aux efforts continus du réseau des responsables de l’application du RGPD du bloc pour parvenir à une sorte de consensus sur comment appliquer au mieux la loi sur la confidentialité sur les outils GenAI.
Google n’a pas répondu aux questions sur les sources de données utilisées pour entraîner ses outils GenAI, mais le porte-parole Jay Stoll a envoyé par courrier électronique une déclaration dans laquelle Google a écrit : « Nous prenons au sérieux nos obligations en vertu du RGPD et travaillerons de manière constructive avec la DPC pour répondre à leurs questions. »