L'histoire devrait trouver une oreille favorable aux complotistes et aux amateurs de faits divers. En effet, ce Norvégien n'avait rien demandé et pourtant il s'est retrouvé au centre d'une histoire de meurtre inventé de toute part par une IA, et pas n'importe laquelle.
Arve Hjalmar Holmen ne s’attendait sans doute pas à une telle réponse en interrogeant ChatGPT sur son propre nom. Comme l’explique l’association noyb (None of Your Business), spécialisée dans la protection de la vie privée, le chatbot lui dresse un profil à la Hannibal Lecter, affirmant que cet homme avait été condamné à 21 ans de prison pour avoir tué deux de ses enfants et tenté d’assassiner son troisième fils.
Le problème est que le récit faux contenait aussi des informations véridiques sur la vie du plaignant, comme le nombre et le sexe de ses enfants ainsi que le nom de sa ville natale. Une combinaison explosive qui, selon noyb, représente une violation manifeste du Règlement général sur la protection des données (RGPD).
Violation du RGPD : OpenAI dans le viseur des autorités européennes
D’après l’article 5 du RGPD (voir à la fin de l'article), toute entreprise traitant des données personnelles doit s’assurer de leur exactitude. Or, en générant de telles hallucinations, OpenAI risque de lourdes sanctions. L’association exige donc que l’autorité norvégienne de protection des données inflige une amende administrative à OpenAI, afin de prévenir de futures violations.
Depuis cet incident, ChatGPT a été mis à jour, et ne présente plus Arve Hjalmar Holmen comme un criminel -heureusement. Toutefois, noyb souligne que les fausses informations pourraient encore être présentes dans les données d’entraînement du modèle, ce qui rend leur suppression définitive incertaine.
Les hallucinations de l’IA : un problème récurrent
Ce n’est pas la première fois que ChatGPT est accusé d’inventer des faits sur des personnes réelles. En 2023, le député français Éric Bothorel avait déjà porté plainte contre OpenAI après avoir découvert des informations erronées le concernant dans les réponses du chatbot.
Alors que l’intelligence artificielle devient de plus en plus omniprésente, cette affaire pose la question de savoir si on peut vraiment faire confiance à ces modèles lorsqu’il s’agit de sujets sensibles comme l’identité et la réputation des individus.
Ce que dit l'Article 5 du RGPD
1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).
