En complément à mon post précédent, j’ai trouvé utile de mettre ci-dessous pour les lecteurs francophones une traduction libre de la décision du Garante :

« Garante per la protezione dei dati personali, Ordonnance du 30 mars 2023 [9870832]

LE GARANT DE LA PROTECTION DES DONNÉES PERSONNELLES

VU le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, le « règlement » – [RGPD]) ;

AYANT ÉGALEMENT CONSIDÉRÉ le code de protection des données personnelles (décret législatif n° 196 du 30 juin 2003) ;

AYANT PRIS NOTE des nombreuses informations diffusées par les médias sur le fonctionnement du service ChatGPT ;

CONSTATE, suite à une vérification effectuée à cet égard, qu’aucune information n’est fournie aux utilisateurs, ni aux personnes concernées dont les données ont été collectées par OpenAI, L.L.C. et traitées par le biais du service ChatGPT ;

CONSTATANT l’absence de base juridique appropriée en ce qui concerne la collecte de données à caractère personnel et leur traitement aux fins de la « formation » des algorithmes qui sous-tendent le fonctionnement de ChatGPT ;

CONSTATANT que le traitement des données à caractère personnel des personnes concernées est inexact dans la mesure où les informations fournies par ChatGPT ne correspondent pas toujours aux données réelles

CONSTATANT en outre l’absence de vérification de l’âge des utilisateurs du service ChatGPT qui, selon les termes publiés par OpenAI L.L.C., est réservé aux personnes âgées d’au moins 13 ans

CONSIDÉRANT que l’absence de filtres pour les enfants de moins de 13 ans les expose à des réponses totalement inadaptées à leur degré de développement et de conscience de soi

CONSIDÉRANT par conséquent que, dans la situation décrite ci-dessus, le traitement des données à caractère personnel des utilisateurs, y compris des mineurs, et des personnes dont les données sont utilisées par le service est contraire aux articles 5, 6, 8, 13 et 25 du règlement

CONSIDÉRANT, par conséquent, la nécessité d’ordonner, conformément à l’article 58, paragraphe 2, point f), du règlement, dans l’urgence et dans l’attente de l’achèvement de l’enquête préliminaire nécessaire sur les faits apparus à ce jour concernant OpenAI L.L.C., la société américaine qui développe et exploite ChatGPT, la mesure de limitation provisoire du traitement

CONSIDÉRANT que, en l’absence de tout mécanisme de vérification de l’âge des utilisateurs et, en tout état de cause, de toutes les infractions constatées, cette limitation provisoire devrait être étendue à toutes les données à caractère personnel des personnes concernées établies sur le territoire italien

CONSIDERE qu’il est nécessaire d’ordonner la restriction susmentionnée avec effet immédiat à compter de la date de réception de la présente ordonnance, en se réservant le droit de prendre toute autre décision une fois que l’enquête préliminaire sur l’affaire aura été menée à bien ;

RAPPELANT qu’en cas d’inexécution de la mesure ordonnée par le Garante, les sanctions pénales prévues à l’article 170 du Code et les sanctions administratives prévues à l’article 83, paragraphe 5, point e), du Règlement s’appliquent

CONSIDÉRANT, sur la base de ce qui précède, que les conditions d’application de l’article 5, paragraphe 8, du règlement no. 1/2000 relatif à l’organisation et au fonctionnement du bureau du Garante, qui prévoit que « Dans les cas d’urgence particulière et d’urgence ne permettant pas de convoquer le Garante en temps utile, le président peut adopter les mesures relevant de la compétence de l’organe, qui cessent de produire leurs effets dès leur adoption si elles ne sont pas ratifiées par le Garante lors de la première réunion utile, à convoquer au plus tard le trentième jour » ;

VU les documents figurant dans le dossier ;

EU EGARD A CE QUI PRÉCÈDE, L’AUTORITÉ DE CONTRÔLE

(a) conformément à l’article 58, paragraphe 2, point f), du règlement, ordonne d’urgence à l’encontre d’OpenAI L.L.C., société américaine, développeur et exploitant de ChatGPT, en sa qualité de titulaire du traitement de données à caractère personnel effectué par le biais de cette application, la mesure de limitation provisoire du traitement des données à caractère personnel des personnes concernées établies sur le territoire italien

b) la limitation susmentionnée prend effet immédiatement à compter de la date de réception de la présente ordonnance, sous réserve de toute autre détermination à l’issue de l’enquête préliminaire sur l’affaire.

Le Garante, conformément à l’article 58, paragraphe 1, du règlement (UE) 2016/679, invite également le responsable du traitement des données auquel la mesure est adressée, dans un délai de 20 jours à compter de la date de réception de la mesure, à communiquer les mesures prises afin de mettre en œuvre la mesure et à fournir tout élément jugé utile pour justifier les violations mises en évidence ci-dessus. A noter que l’absence de réponse à la demande formulée en application de l’article 58 est passible de la sanction administrative prévue à l’article 83, paragraphe 5, point e), du règlement (UE) 2016/679.

Conformément à l’article 78 du règlement, ainsi qu’à l’article 152 du code et à l’article 10 du décret législatif n° 150 du 1er septembre 2011, il est possible de s’opposer à cette mesure auprès de l’autorité judiciaire ordinaire, en introduisant un recours auprès du tribunal ordinaire du lieu où réside le responsable du traitement, dans un délai de trente jours à compter de la date de communication de la mesure elle-même, ou de soixante jours si le demandeur réside à l’étranger.

A Rome, le 30 mars 2023

LE PRÉSIDENT

Stanzione »

(Source : https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870832)

————————-

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)