L’IA à l’épreuve du droit : sanction infligée par la Cnil italienne à OpenAI

L’évolution rapide de l’IA pose des défis juridiques majeurs, notamment en matière de protection des données personnelles et des mineurs. La sanction de 15 millions d’euros infligée à OpenAI par le Garante italien¹ de la protection des données constitue un cas exemplaire des tensions entre innovation technologique et respect des cadres juridiques.

Contexte de la sanction et fondements juridiques de la décision

En décembre 2024, le Garante Privacy a rendu public un rapport détaillé de quarante pages, exposant les violations présumées commises par OpenAI dans le cadre de l’exploitation de son modèle de langage ChatGPT². Les principales critiques portées à l’encontre d’OpenAI incluent le traitement illicite des données personnelles, le manque de transparence et l’absence de mesures de protection des mineurs (la vérification de l’âge).

Le Garante a estimé que les données des utilisateurs avaient été collectées et utilisées sans base légale valide. Les utilisateurs n’auraient pas été informés de manière claire et accessible des finalités du traitement de leurs données, ni des risques associés à l’utilisation du service.

Aussi, le Garante a souligné l’insuffisance des mécanismes mis en place pour vérifier l’âge des utilisateurs, exposant les mineurs à des contenus inappropriés et à des risques accrus pour leur vie privée.

Ces points présentent des violations de principes fondamentaux du RGPD – à savoir la licéité et la transparence du traitement des données (articles 5 et 6), ainsi que la protection spécifique des données des mineurs (article 8) et les obligations de communication claire et accessible aux personnes concernées (article 12). Ils constituent des infractions qui compromettent les droits des individus et les exigences de conformité prévues par la réglementation européenne.

Le RGPD impose aux entreprises des obligations strictes : obtenir un consentement explicite pour toute collecte de données sensibles, informer clairement les utilisateurs sur les traitements effectués et prendre des mesures spécifiques pour protéger les utilisateurs vulnérables, notamment les enfants.

En l’espèce, OpenAI aurait failli à ses obligations, non seulement en raison d’une collecte massive de données sans consentement adéquat, mais aussi par son incapacité à garantir un usage éthique et transparent de son IA.

Implications pour l’industrie technologique

Cette sanction marque un tournant important dans l’approche des autorités européennes vis-à-vis des entreprises technologiques internationales. Elle envoie un message clair : les entreprises non européennes opérant dans l’Union européenne doivent se conformer aux normes locales, sous peine de sanctions sévères.

Ce cas inédit est un avertissement pour les acteurs de l’IA. Une telle décision met en lumière les défis auxquels sont confrontées les entreprises développant des IA génératives.

Le cas Garante Privacy vs OpenAI montre que les régulateurs nationaux sont prêts à adopter une position proactive pour protéger les citoyens européens, même face à des acteurs globaux puissants. Cela pourrait encourager d’autres pays européens à suivre l’exemple de l’Italie et à renforcer leurs mécanismes de surveillance.

Pour les entreprises comme OpenAI, cette sanction souligne la nécessité de collaborer avec les régulateurs locaux et d’adopter une approche plus nuancée et régionale.

Le cadre réglementaire de l’AI Act : une base solide pour l’IA en Europe

La sanction infligée à OpenAI s’inscrit dans un contexte où l’Union européenne dispose d’un cadre réglementaire spécifique pour l’intelligence artificielle : l’AI Act. Entré en vigueur début 2025, ce règlement établit des règles claires pour les systèmes d’IA afin de garantir leur sécurité, leur transparence et leur conformité avec les droits fondamentaux³ (voir La rem n°68, p.8 et La rem n°69-70, p.11).

Dans ce contexte, le cas OpenAI met en lumière plusieurs enjeux cruciaux pour l’application de l’AI Act. Il impose que les systèmes d’IA soient explicables et compréhensibles pour les utilisateurs. La sanction souligne le fait qu’OpenAI n’a pas respecté ces obligations, notamment en matière d’information des utilisateurs sur les finalités et sur les modalités de traitement des données.

Une des spécificités de l’IA Act est l’accent mis sur la protection des groupes vulnérables, tels que les enfants. Comme susmentionné, le Garante a reproché à OpenAI de ne pas avoir implémenté des mécanismes efficaces de vérification de l’âge, exposant ainsi les mineurs à des risques accrus.

L’AI Act instaure des obligations claires pour les fournisseurs et les utilisateurs de systèmes d’IA à haut risque. OpenAI, en tant que fournisseur d’un modèle de langage à haut potentiel d’impact, aurait dû prendre des mesures spécifiques pour anticiper et prévenir les risques associés à l’utilisation de son IA.

Le cas OpenAI illustre ainsi que le simple fait de disposer d’un cadre réglementaire ne suffit pas : la coopération entre régulateurs, entreprises et institutions est indispensable pour garantir que ces règles soient appliquées de manière effective.

La campagne informative imposée à OpenAI : un levier de transparence et de régulation

Dans le cadre de la sanction, l’entreprise OpenAI a également été sommée de lancer une campagne d’information. Cette mesure, qui accompagne l’amende financière, vise à sensibiliser les utilisateurs sur les pratiques de traitement des données personnelles et à leur fournir une meilleure compréhension de leurs droits en vertu du RGPD et de l’AI Act. Cette campagne, bien plus qu’une obligation juridique, représente un tournant stratégique pour OpenAI, en contribuant à restaurer la confiance des utilisateurs européens tout en servant d’exemple pour l’industrie technologique.

La campagne devra atteindre plusieurs objectifs essentiels. Le premier est d’éduquer les utilisateurs sur les pratiques de collecte, d’utilisation et de stockage des données personnelles par OpenAI. L’absence de transparence sur ces questions a été l’une des principales critiques formulées par le Garante. Cette campagne devra également expliquer très précisément les droits des utilisateurs, notamment le droit à l’information, le droit à l’effacement et le droit à la portabilité des données. Enfin, il sera crucial pour OpenAI de démontrer son engagement envers la conformité et la transparence, en informant les utilisateurs des mesures correctives prises pour répondre aux critiques des régulateurs.

Pour atteindre ces objectifs, OpenAI devra mettre en place une campagne multicanal et accessible. L’intégration de messages d’information directement dans l’interface de ChatGPT constituera un moyen efficace de toucher les utilisateurs au moment où ils interagissent avec le service. Les réseaux sociaux joueront également un rôle clé, permettant à OpenAI de cibler des publics variés. De plus, l’entreprise pourrait collaborer avec des ONG pour renforcer la crédibilité de son message.

Cette campagne d’information représente une occasion stratégique pour OpenAI. La sanction du Garante ayant terni son image de marque en Europe, cette initiative offre une opportunité de rétablir la confiance des utilisateurs en adoptant une posture proactive et pédagogique. En expliquant clairement ses pratiques et en prenant en compte les critiques, OpenAI pourrait non seulement répondre aux attentes des régulateurs mais également consolider son lien avec les utilisateurs européens. Cette campagne pourrait également devenir une base pour anticiper d’éventuelles nouvelles régulations, en montrant que l’entreprise est capable de s’adapter à un cadre juridique strict.

Cependant, la mise en œuvre de cette campagne ne sera pas sans difficultés. Les informations à transmettre sont complexes et techniques, et OpenAI devra trouver des moyens innovants pour les rendre compréhensibles et engageantes pour un public diversifié. Les coûts liés à une telle campagne seront significatifs, ajoutant une pression financière supplémentaire.

Cette initiative imposée par le Garante pourrait néanmoins devenir un modèle pour d’autres régulateurs. En combinant sanction financière et sensibilisation, cette mesure souligne l’importance d’un dialogue direct avec les utilisateurs, et pas seulement d’une mise en conformité technique. Elle établit un précédent qui pourrait inciter d’autres entreprises technologiques à adopter des démarches similaires de manière proactive, renforçant ainsi la transparence et la responsabilisation dans tout le secteur.

La régulation comme levier de confiance et d’innovation

Cette affaire pourrait bien être le début d’une nouvelle ère, où l’IA devra s’aligner non seulement sur des objectifs commerciaux, mais aussi sur des valeurs fondamentales comme la transparence, la responsabilité et le respect des droits individuels.

La sanction infligée à OpenAI par le Garante Privacy constitue un signal fort : les États européens ne transigent pas sur la protection des droits fondamentaux face à l’essor des technologies émergentes. Avec l’AI Act, les entreprises technologiques opèrent dans un cadre clair qui favorise une innovation responsable. Ce cadre, loin d’être une contrainte, doit être perçu comme une opportunité de bâtir des systèmes d’IA plus transparents, sûrs et respectueux des utilisateurs.

Pour les acteurs de l’IA, cette affaire démontre que la conformité aux réglementations n’est pas seulement une obligation, mais aussi un levier essentiel pour gagner la confiance des citoyens et des institutions. Les entreprises peuvent contribuer à façonner un futur technologique, où innovation et respect des droits fondamentaux coexistent harmonieusement.

In fine, ce cas inédit montre que la régulation, loin d’être un frein à l’innovation, peut être un levier pour encourager une IA plus transparente et respectueuse des droits fondamentaux en Europe.

Sources :

1. Garante per la protezione dei dati personali, garanteprivacy.it
2. Provvedimento correttivo e sanzionatorio, Garante per la protezione dei dati personali, Rome, 20 décembre 2024.
3. Le règlement européen sur l’IA publié au Journal officiel de l’Union européenne (JOUE), le 12 juillet 2024, est entré progressivement en application depuis le 1^er août 2024.

• Erva Akin Eylul, Klimbacher Simona, Ziccardi Giovanni, Smart cities, artificial intelligence and digital transformation law, Milano University Press, 2024.
• Folon Jacques, RGPD 2024. La protection des données personnelles à l’heure de l’Intelligence Artificielle, Edipro, 2024.
• Joy Elmgart Nicole, Navigating the EU AI Act. The Annotated Regulation, CIPP Éditions, 2024.
• Iaselli Michele, AI Act. Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024, Maggioli Editore, 2024.
• Kumar Radika, EU AI Act, its Implications for Global Trade. The Game Theory Strategy, 2024.
• Ziccardi Giovanni, Diritti digitali. Informatica giuridica per le nuove professioni, Raffaello Cortina Editore, 2022.