ChatGPT : vertiges et dangers de l’IA générative
L’outil d’intelligence artificielle ChatGPT fait grand bruit, sur la toile et ailleurs. Proposé en accès gratuit par la société américaine OpenAI, son utilisation produit pour certains des prouesses. Pour d’autres, ce serait plutôt des ravages. À l’heure de l’adoption de l’IA Act par l’Union européenne, son utilisation dans un contexte professionnel ne va pas sans quelques précautions.
Désinformation
Qui n’a pas été tenté de poser quelques questions à ChatGPT, le dernier aboutissement de l’intelligence artificielle (IA) créé par la société américaine OpenAI ?
Cette version plus sophistiquée et intelligente des chatbots, c’est-à-dire de petits robots conversationnels, fait la une des journaux, même non spécialisés, qui s’extasient des capacités d’un tel outil. Il convient cependant de se méfier des résultats générés par ChatGPT. À titre d’exemple, un avocat américain a rédigé des conclusions avec ChatGPT, ne les a pas relues et le tribunal s’est aperçu que les décisions citées étaient imaginaires. J’ai pour ma part fait un test identique et suis arrivé à un résultat irrationnel et totalement fictionnel, voire comique.
Tout serait, d’après les spécialistes, une question de « prompt » ou d’« invite », c’est-à-dire du message d’interrogation adressé à l’IA qui ne serait pas correct. C’est ce qui justifierait les mauvaises réponses apportées par ChatGPT. L’explication n’est guère convaincante.
ChatGPT – in extenso Chat Generative Pre-trained Transformer – appartient à la grande famille des IA génératives (IAG, les initiés utilisent aussi l’expression GenAI) qui comprend les IA capables de créer de toutes pièces des images, des vidéos… avec la difficulté de distinguer ce qui relève du vrai et du faux, ce qui constitue un problème fondamental dans une société démocratique.
L’IAG pose des problèmes juridiques complexes auxquels les entreprises ne peuvent que s’intéresser et tenter, le cas échéant, de se mettre en conformité.
Rappelons à toutes fins utiles que la Cnil italienne avait en mars 2023 bloqué ChatGPT, en raison de soupçons de violations des règles de l’UE en matière de protection des données, pour l’autoriser quelques semaines plus tard et que, dans un mouvement de colère, le PDG d’OpenAI avait menacé de ne plus distribuer son produit en Europe.
L’IA Act, déjà dépassé ?
De même, alors que la rédaction du futur règlement européen sur l’IA, l’IA Act, était quasi finalisée, les parlementaires ont dû rajouter dans l’urgence un paragraphe relatif aux IAG pour qu’elles soient comprises dans le texte qui finalement a été adopté le 14 juin 2023. La crainte des députés européens était que l’IA générative soit utilisée à des fins de désinformation.
L’IA Act prévoit donc des mesures d’information afin d’indiquer si le contenu affiché provient d’une IAG et, le cas échéant, s’il s’agit d’une deepfake. Est également prévue une obligation de déclarer si des données protégées par les droits d’auteur ont été utilisées pour entraîner les modèles d’IA.
Dans l’analyse juridique d’un système d’IA, il faut distinguer l’amont, c’est-à-dire l’analyse de la manière dont a été conçue l’IAG et quelles sont les données utilisées, de l’aval qui est le résultat produit.
L’AMONT
Concernant l’amont, l’IA et les IAG ne peuvent développer leurs modèles que grâce à l’exploitation des millions ou des milliards de données qui sont sur internet. Nombre de ces données sont protégées, notamment par le RGPD et le droit d’auteur. Il est dès lors impossible de les exploiter, sauf accord des détenteurs ou propriétaires des droits sur les données.
ChatGPT, hors RGPD ou sous RGPD ?
Il ne semble pas que le RGPD soit applicable à ChatGPT, dans la phase amont, compte tenu des règles de territorialité. En effet, pour les responsables de traitement établis hors de l’Union européenne, le RGPD ne s’applique que dans les deux cas suivants :
- lorsque le traitement des données des personnes concernées est lié à l’offre de biens ou de services à ces personnes dans l’Union, qu’un paiement soit exigé ou non desdites personnes ;
- ou lorsqu’il est lié au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union./li>
En revanche, si l’IAG est exploitée depuis l’Europe, les règles contraignantes du RGPD s’appliqueront et l’entreprise utilisatrice pourra être considérée comme coresponsable du traitement avec toutes les obligations que cela implique.
Données et droit d’auteur
La protection des données au nom du droit d’auteur soulève un problème complexe : le fait d’analyser des milliers de données (ce qui comprend images, textes, sons, vidéos…) peut-il être assimilé à une contrefaçon, autrement dit à de la copie de données ?
La majorité des commentateurs semble considérer que oui, avec cependant une exception concernant la « fouille » de données contenues dans du texte, qui est autorisée dans les conditions prévues à l’article L.122-5-3 du code de la propriété intellectuelle. En application de ce texte, le détenteur des données textuelles a la possibilité d’interdire leur usage à des fins d’intelligence artificielle, par un code lisible par la machine. C’est ce que les juristes spécialisés appellent dans leur jargon « l’OPT out ». Mais, à défaut d’avoir signalé leur volonté que les textes ne soient pas utilisés pour de l’IA, ces derniers peuvent être utilisés par l’IAG.
En revanche, les images et le son restent protégés par les droits qui leur sont propres et ne pourraient être exploités.
L’AVAL
Secret des affaires
« Les entreprises doivent alerter leurs salariés et leurs parties prenantes sur les dangers des IAG et notamment sur les risques d’atteintes au secret des affaires tel qu’il a été défini par la loi n° 2018-670 du 30 juillet 2018. »
Le fonctionnement d’une IAG conduit à fournir des informations sur l’utilisateur en fonction des questions posées à l’IAG. L’utilisateur est « profilé », ce qui peut entraîner l’application du RGPD lorsque la collecte des données de l’utilisateur est localisée en France. Dès lors, les entreprises doivent alerter leurs salariés et leurs parties prenantes sur les dangers des IAG et notamment sur les risques d’atteintes au secret des affaires tel qu’il a été défini par la loi n° 2018-670 du 30 juillet 2018. Les entreprises ne peuvent bénéficier de la protection découlant de ce texte que si elles ont pris des mesures raisonnables pour assurer la sécurité de l’information, ce qui passe notamment par l’information et la formation des salariés.
C’est donc l’occasion de vérifier dans les contrats de travail des salariés et les contrats avec les partenaires de l’entreprise si de telles mesures sont prévues.
Protection des œuvres « artificielles »
Une autre question fondamentale se pose : celle des droits permettant de protéger les créations provenant d’une IAG ou, d’une manière plus générale, d’une intelligence artificielle.
Il existe de très nombreux textes ou projets de texte, tant pour faciliter l’accès aux données que pour encadrer l’IA, telles que l’IA Act, un projet de directive sur la responsabilité des produits contenant de l’IA, etc. Mais curieusement, aucun texte n’est prévu sur la protection des oeuvres issues d’une IA ou d’une IAG. Or, une telle protection est nécessaire pour inciter les entreprises à investir dans l’IA.
Il est cependant possible de considérer que certaines œuvres issues de l’IA relèveraient du droit d’auteur, à condition que la personne utilisatrice de l’IA exerce une influence déterminante sur la création, l’IA étant alors considérée comme un outil au même titre que le pinceau ou la palette du peintre.
Aucun texte réglementaire n’est prévu sur la protection des œuvres issues d’une intelligence artificielle (IA) ou d’une intelligence artificielle générative (IAG) (visuel généré à l’aide de l’IA).
Directive sur les bases de données, une inspiration
Pour les autres données produites, il est possible de les protéger en recourant à des mécanismes juridiques anciens comme la concurrence déloyale, mais la protection reste faible.
Une question identique s’était posée pour les bases de données que l’on ne savait pas très bien comment protéger avant la directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996. Le producteur, que l’on pourrait définir de manière lapidaire comme celui faisant l’investissement financier, possède des droits sur la base qu’il peut donc licencier ou concéder.
Il est urgent qu’une solution législative au niveau français ou européen soit trouvée, en s’inspirant par exemple du rapport de la mission du Conseil supérieur de la propriété littéraire et artistique sur la réforme européenne de la directive de 1996 concernant la protection juridique des bases de données, et plus généralement des travaux du professeur A. Bensamoun.
Fake news et diffamation
Par ailleurs, ChatGPT fournit un grand nombre de réponses fausses et inventées, comme en témoigne l’histoire d’un professeur dans une université américaine qui aurait été désigné par ChatGPT comme un prédateur sexuel ce qui était totalement faux. Écrit par un humain, un tel mensonge relèverait du droit pénal et pourrait entraîner des poursuites pour diffamation. Écrit par une IAG, les poursuites paraissent impossibles. En revanche, il est sans doute possible de se fonder sur les dispositions de l’article 1240 du code civil (ancien 1382) relatives à la responsabilité civile extra-contractuelle, à condition de démontrer une faute, un préjudice et un lien de causalité entre les deux. Tant que le droit de l’IAG ne se sera pas stabilisé, il est conseillé aux entreprises de vérifier leurs contrats pour se protéger.
Enfin, je terminerai en précisant, en cas de besoin, que cet article n’a pas été rédigé par ChatGPT et que tout ce qu’il contient a été soumis à vérification et n’est pas inventé.
Article extrait du n° 594 de Face au Risque : « Éviter les chutes » (juillet-août 2023).
Thibault du Manoir de Juaye
Avocat à la Cour, spécialiste de la sécurité et de la sûreté dans l’entreprise
Les plus lus…
Dans le cadre de la loi « Industrie verte », la réforme de l’autorisation environnementale oblige à une nouvelle procédure…
Dans un avis et un rapport publiés le 18 juin 2024, l'Anses préconise de reconnaître “les travaux exposant aux émissions…
Les textes réglementaires relatifs aux ICPE qui exigent la formation du personnel à la manipulation des extincteurs ne précisent…
Visant à primer les meilleures innovations en matière de sécurité - sûreté, la 18e édition de la « Nuit…
Euralarm a publié un nouveau guide sur l'influence des débits d'air élevés et du confinement des allées chaudes/froides sur la…
Le règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, établissant des règles relatives à l'application de…