GEDIA Opinion : le ChatGPT d'Arcachon : progrès ou régression

Comme beaucoup le savent, la ville d’Arcachon a déchaîné les chroniques avec son partenariat avec ChatGPT. Il s’agissait ni plus ni moins que de donner gratuitement accès à la version payante de ChatGPT à tous ses administrés. Tous.

Tout d’abord, ChatGPT, c’est quoi ?

Il s’agit d’un outil d'intelligence artificielle opéré par la société Open AI (société située aux Etats-Unis) avec lequel les utilisateurs peuvent « converser », c’est-à-dire, par exemple, poser des questions, demandes des précisions, des informations, partager des documents pour en demander des résumés, des traductions, des explications, demander de rédiger un courrier, créer une image, etc.

En pratique, cela permet notamment d’obtenir des informations relatives à des questions du quotidien, de faire gagner du temps dans des démarches administratives ou encore d'aider dans des tâches éducatives, étant précisé qu’une vérification est toujours nécessaire.

L’équipe de GEDIA, qui développe des outils similaires à ChatGPT, a décortiqué pour vous pourquoi c’est une bonne idée, mais aussi pourquoi le choix d’une solution américaine est un vrai retour en arrière s’agissant de la protection des citoyens.

1. Une idée prometteuse pour réduire la fracture numérique

L'initiative de la mairie d'Arcachon repose sur un constat simple : dans une société où la numérisation croissante touche tous les aspects de la vie quotidienne, il est impératif de rendre ces outils accessibles à tous. En offrant un accès généralisé à ChatGPT la mairie cherche à combler la fracture numérique, notamment pour une population vieillissante. Avec plus de 60 % des habitants âgés de plus de 60 ans, cette initiative ambitionne de transformer la ville en un modèle d'inclusion numérique.

En France, où 13 millions de personnes sont considérées comme éloignées du numérique selon France Numérique, cette approche d'Arcachon s’est certainement voulue un geste visionnaire. Elle répond à un double objectif : moderniser les services municipaux en apportant des solutions aux particuliers pour naviguer dans un monde de plus en plus connecté.

2. Le problème de souveraineté et de sécurité des données

Cocorico : à la fin des années 1970, la France a été pionnière, en mettant en place la première législation d’ampleur en vue de la protection des données personnelles des citoyens, avec la fameuse loi dite « Informatique et Libertés » du 6 janvier 1978. Après avoir inspiré de nombreux pays, 40 ans plus tard, c’est le Conseil Européen qui a légiféré en la matière, avec son Règlement général sur la protection des données (RGPD).

Les données personnelles sont celles qui permettent d’identifier une personne : cela va de son nom, à sa date de naissance, à ses préférences politiques, à sa religion, en passant par ses données de santé, ses revenus, ses préférences vestimentaires, alimentaires, les rapports avec d’autres personnes, ses traces de connexion sur Internet, etc., etc.

Si vous vous dites que vos données n’intéressent personne, sachez que si le marché des données personnelles pèse plusieurs milliards d’euros, c’est que certains savent en tirer profit, aussi bien pour des desseins commerciaux (profilage pour vous adresser des publicités ciblées) politiques (manipulation, propagande), malveillants (par recoupement, il est possible de déterminer vos identifiants et mots de passe pour accéder à vos comptes bancaires par exemple).

Ainsi, nous, citoyens européens, avons la chance d’être protégé par l’une des réglementations les plus contraignantes au Monde, qui s’impose en premier lieu aux acteurs européens (et en principe à tous les acteurs qui traitent nos données personnelles) qui ont l’obligation de satisfaire à des contraintes telles que :

• Le droit d’accès, de rectification et d’opposition concernant les données personnelles

• La sécurité et la confidentialité dans le traitement des données

• Le principe de transparence, de proportionnalité et de minimisation :  simplement, les données doivent être collectées et conservées dans la seule mesure nécessaire pour répondre à des objectifs définis, communiqués et légitimes.

Les acteurs américains (états-uniens), tels qu’Open AI (éditeur de ChatGPT), ne sont pas nativement soumis à ces contraintes. En revanche, ils sont contraints par une réglementation américaine peu compatible avec le RGPD. Preuve en est : les recours formés et gagnés par l’activiste autrichien, Max Schrems, qui ont conduit la Cour de Justice de l’Union Européenne (CJUE) à invalider le transfert des données entre l’Union Européenne et les Etats-Unis (Schrems II, 16 juillet 2020). Même si l’adoption de quelques garde-fous (dont l’efficacité est contestée) ont motivé une décision d’adéquation en juillet 2023, les inquiétudes demeurent. Les raisons ? En résumé, la réglementation américaine (FISA, dénoncé notamment par Edward Snowden, et le Patriot Act) permet aux services secrets des Etats-Unis d’accéder à toutes données personnelles détenues par toute société américaine (quand bien même elle aurait des serveurs en France) et la surveillance de masse des personnes, sans information ni notification. La CJUE a clairement indiqué que le cadre juridique américain ne garantit pas une protection substantiellement équivalente à celle de l'Union Européenne, notamment en termes de recours effectifs pour les citoyens européens.  

Le lien avec les utilisateurs de ChatGPT ? Le site de la mairie d’Arcachon précise  « Pour garantir la confidentialité, toutes les intéractions avec Chat GPT seront entièrement anonymisées, assurant ainsi un respect total des données personnelles. » Rassurant, vous dites-vous, sauf que l’ensemble des données que les utilisateurs partagent à ChatGPT (photos, documents, questions, lettres, conversations) sont nécessairement transférées et stockées un certain temps sur les serveurs d’Open AI (dont on ne sait pas où ils se trouvent dans le Monde), et les autorités américaines sont susceptibles de se créer une base de connaissance à partir de ces données. Au surplus, Open AI prévoit que des humains, dont ne sait rien de la localisation, peuvent avoir accès à ces éléments pour faire des contrôles d’abus, ce qui revient à dire que de parfaits étrangers peuvent avoir aux questions et documents les plus intimes des utilisateurs.  

Les pouvoirs publics cherchent à faciliter la vie des administrés, ce qui est louable, et les outils d’intelligence artificielle générative répondent parfaitement à cet objectif. Toutefois, dès lors qu’un outil « facile » est mis à la disposition des administrés non formés, non sensibilisés, et, au contraire, incités à l’utiliser, il relève de la responsabilité de ces mêmes pouvoirs publics de limiter les risques pesant sur la violation de la vie privée des citoyens.

Une demande de transmission du contrat liant la mairie d’Arcachon et Open AI a été demandée à la commission d’accès aux documents administratifs a été formée le 22 octobre 2024, notamment pour vérifier l’ensemble des aspects liés à la protection de la vie privée, mais n’a pas reçu de réponse à ce jour (https://madada.fr/demande/chat_gpt_arcachon). Donc progrès, oui, mais également régression, au regard du système d’intelligence artificielle retenu.

3. Un paradoxe face aux investissements publics français dans l’IA

Le choix du système d’intelligence artificielle d’Open AI paraît d’autant plus surprenant que la France a investi massivement dans le développement d’une intelligence artificielle souveraine. Depuis le lancement de la stratégie nationale pour l’IA en 2018, plusieurs milliards d’euros ont été mobilisés pour soutenir la recherche, le développement et l’adoption d’outils technologiques français.

Des acteurs locaux, comme GEDIA, proposent déjà des solutions qui respectent les lois françaises et européennes sur la protection des données. Ces entreprises offrent des technologies compétitives, capables de répondre aux besoins d'Arcachon sans les risques associés à l'externalisation des données vers des géants américains.

4. Des alternatives locales, éthiques et innovantes

Si l’initiative d’Arcachon a le mérite d’ouvrir la voie vers la facilitation de l’accès aux services numériques des citoyens, elle donne l’occasion de soulever les risques qu’elle emporte et de guider les autres collectivités vers  des solutions souveraines françaises respectueuses de la vie privée des citoyens.. Non seulement les acteurs qui les développent respectent les exigences du RGPD, mais ils sont aussi capables de personnaliser leurs offres pour répondre aux besoins spécifiques des collectivités locales.

Au surplus, ils proposent souvent des formations afin de sensibiliser les utilisateurs aux risques liés aux données personnelles et accompagnent les municipalités dans leur transition digitale.

Ces solutions ne sont pas seulement plus sûres ; elles contribuent également à renforcer l’économie locale et à soutenir l’indépendance technologique européenne.

5. Conclusion : les bonnes pratiques pour transitionner vers un numérique local et responsable

L’exemple d’Arcachon doit servir de leçon pour les autres municipalités françaises. Offrir un accès généralisé à l’intelligence artificielle est une idée brillante, mais elle doit s’accompagner d’une réflexion approfondie sur la souveraineté, la sécurité et la conformité légale.

Il est crucial que les collectivités et les pouvoirs publics :

• Évaluent les risques liés aux partenariats avec des entreprises non européennes, notamment en ce qui concerne la gestion des données personnelles.

• Explorent les alternatives locales, car il y en a qui émergent en France, qui allient innovation, sécurité et conformité.

• Investissent dans des campagnes de sensibilisation et des formations préalables pour leurs administrés, afin de garantir une adoption réussie des outils numériques.

Le choix de technologies françaises n’est pas qu’une question de patriotisme économique ; c’est une nécessité pour protéger nos données, soutenir notre souveraineté et construire un avenir numérique durable.

Aux collectivités de France : l’heure est venue d’agir. Le numérique n’attend pas, et des solutions accessibles et locales existent pour accompagner vos habitants. Avec des partenaires locaux, vous pouvez transformer cette ambition en une réussite collective.

‍