Sous la loupe : chatbots, innovation et protection des données

Le Service d’Inspection de l’Autorité de Protection des Données (APD) a récemment mené une enquête sur une application conversationnelle pour smartphone utilisant l’intelligence artificielle et des modèles de langage. Cette enquête montre bien que le contrôle exercé par le Service d’Inspection s’étend également aux applications numériques innovantes et ne se limite pas à des contextes classiques de traitement des données. Les nouvelles technologies ne sont pas exclues du champ d’application du RGPD. Au contraire, là où la technologie évolue rapidement, une approche structurée de la protection des données demeure essentielle.

Les applications d’IA conversationnelle ou « chatbots » présentent des caractéristiques spécifiques. Les utilisateurs communiquent souvent en texte libre, ce qui fait que les organisations ne peuvent pas toujours prévoir à l’avance quelles données à caractère personnel seront partagées. En pratique, ces conversations peuvent également contenir des informations sensibles ou très personnelles. Cela exige une attention particulière aux principes de minimisation des données, de limitation des finalités, de limitation de la conservation et de transparence.

Le Service d’Inspection constate que les organisations développant ou exploitant de telles applications se concentrent parfois fortement sur le développement du produit, l’expérience utilisateur et la scalabilité, tandis que les obligations formelles en matière de protection des données ne sont remplies de manière structurée qu’ultérieurement.

Un point d’attention récurrent concerne les durées de conservation. Dans le cadre des applications conversationnelles, les historiques de chat peuvent contenir de grandes quantités de données à caractère personnel, parfois d’une grande sensibilité. Les organisations ont donc tout intérêt à justifier concrètement les durées de conservation appliquées en fonction de la finalité poursuivie, et non à définir des délais standards étendus sans nécessité claire. Ce qui est techniquement possible n’est pas automatiquement nécessaire ou proportionné.

La transparence mérite également une attention particulière. Les utilisateurs ne sont souvent pas conscients de la manière exacte dont leurs conversations sont traitées en interne. Une politique de confidentialité vague ou peu claire sur les durées exactes de conservation des chats ne suffit pas. Lorsque les conversations sont conservées, analysées, partagées avec des prestataires externes ou utilisées pour le ré-entrainement des modèles, des informations claires doivent être fournies à ce sujet. Cela est d’autant plus vrai lorsque les organisations tentent de justifier la conservation prolongée des historiques de chat par des arguments juridiques généraux, tels que la nécessité théorique pour d’éventuelles demandes des autorités publiques. Dans le cadre de l’IA conversationnelle, où ces interactions peuvent être très personnelles ou intimes, un tel motif de conservation général soulève de sérieuses questions concernant la nécessité et la proportionnalité.

En outre, le Service d’Inspection constate que la répartition des rôles au sein d’écosystèmes complexes d’IA n’est pas toujours évidente. Lorsque plusieurs parties sont impliquées dans l’hébergement, l’analyse des statistiques d’utilisation, la fourniture de modèles de langage ou d’autres services de support, une qualification correcte des responsabilités est indispensable. L’absence de clarté à ce sujet conduit souvent à des lacunes dans les accords contractuels, la transparence ou l’exercice des droits des personnes concernées. Une répartition des rôles complète et documentée à l’avance est également essentielle pour le contrôle : elle constitue pour le Service d’Inspection le point de départ pour évaluer efficacement le respect du principe de responsabilité.

Parallèlement, l’enquête montre que l’innovation et la protection des utilisateurs peuvent parfaitement coexister. Les mesures techniques visant à limiter les risques pour les droits et libertés des personnes – telles que le filtrage automatique des interactions dommageables ou l’application d’un contrôle d’accès strict sur les données des chats – apportent une valeur ajoutée claire. Cependant, ces mesures ne constituent un ensemble complet que si elles sont manifestement basées sur une analyse d’impact relative à la protection des données (DPIA) préalable et appliquées de manière cohérente dans la pratique.

Pour les organisations utilisant des chatbots, le message principal est clair : la protection des données ne peut pas être une couche qu’on ajoute à la fin, après le lancement du produit. Les exigences en matière de protection des données doivent être intégrées dès la phase de conception, plutôt qu’ajoutées ultérieurement de manière rapide. Cette approche est cruciale comme fondation solide pour ces applications innovantes, fondation essentielle pour maintenir à long terme la confiance des utilisateurs en ces applications.

Prochain sujet à passer sous la loupe : le contrôleur contrôlé!