L’Autorité italienne sanctionne OpenAI d’une amende de 15 millions d’euros pour violation du RGPD

Publié par le dans | Consulté 25 Fois

par Jessim BENSEDDIK, étudiant du Master 2 Droit des communications électroniques

Les autorités de protection des données personnelles des différents États membres de l’Union européenne deviennent des acteurs cruciaux dans la régulation des activités numériques, en plein contexte où l’Union européenne veut devenir un acteur de poids pour réglementer et réguler le secteur des nouvelles technologies, du numérique et de l’intelligence artificielle.

Dans un temps fort marqué par une adoption et une utilisation croissante des technologies d’intelligence artificielle par le grand public, la protection des données personnelles s’impose comme un enjeu central. Les autorités de protection des données personnelles, garantes de l’application du Règlement général sur la protection des données (RGPD), veillent à préserver les droits fondamentaux des citoyens européens face à des traitements et exploitations de plus en plus massifs et récurrents de leurs données.

C’est en avril 2023 que la société OpenAI, développeur du modèle d’intelligence artificielle ChatGPT, s’est retrouvée sous le feu des projecteurs après une décision de l’autorité italienne de protection des données « Garante per la Protezione dei Dati Personali ».

I. Une condamnation révélatrice des enjeux juridiques posés par les systèmes d’intelligence artificielle générative

L’intervention de l’autorité de protection des données italienne se fonde sur des préoccupations spécifiques liées à la transparence, à la licéité des traitements de données et à la protection des utilisateurs vulnérables, notamment les enfants mineurs. C’est après avoir clos son enquête que la GPDP a infligé, par une décision du 20 décembre 2024, une lourde amende de 15 millions d’euros à la société OpenAI, après avoir finalisé son enquête sur l’utilisation, la collecte et le traitement des données personnelles par ChatGPT. Cette décision faisait suite sa décision un peu plus tôt de bloquer l’accès au chatbot d’OpenAI pour les utilisateurs italiens, en expliquant vouloir empêcher le système d’intelligence artificielle ChatGPT de collecter et traiter les données en violation des lois sur la protection de la vie privée et du RGPD.

Dès lors, la GPDP rappelait, pour fonder sa décision, que ChatGPT avait subi le 20 mars 2023 une fuite massive de données qui ciblait les conversations des utilisateurs ainsi que des informations relatives au paiement des abonnés, sans que la société OpenAI ne notifie la fuite de données.

En deuxième lieu, la GPDP avait également constaté que la société OpenAI avait traité les données à caractère personnel des utilisateurs pour entraîner son modèle d’IA, sans avoir au préalable identifié une base juridique précise pour effectuer ce traitement. C’est en constatant ce manquement que la GPDP a déclaré qu’OpenAI avait violé le principe de transparence et les obligations d’information de ses utilisateurs, en vertu de l’article 12 du RGPD notamment.

Cette actualité est extrêmement révélatrice du non-respect des règles juridiques en lien avec les données personnelles (RGPD) par les sociétés qui exploitent et commercialisent les modèles d’IA à destination du grand public. De plus en plus de condamnations sont ainsi prononcées pour violation du RGPD. La décision de la GPDP s’est ainsi basée sur l’avis du Comité européen de la protection des données (CEPD) sur les modèles d’IA, publié le 18 décembre 2024, prônant une IA davantage responsable et en conformité avec les règles de droit établies par le RGPD. Plus précisément, cet avis détaillait les différentes mesures dans lesquelles l’utilisation des données à caractère personnel pouvait servir au développement et au déploiement des modèles d’IA, mais également la situation dans laquelle un modèle d’IA avait été développé à l’aide de données à caractère personnel traitées illégalement. Ainsi, la GPDP a condamné OpenAI en considération des avis publiés par le CEPD. 

L’entraînement des intelligences artificielles se retrouve donc au même régime que les autres techniques face au RGPD. Plus précisément, l’avis du CEPD explicitait que « lorsque les données sont extraites d’internet accessible publiquement, elles doivent être considérées comme des données à caractère personnel. En outre, ce n’est donc pas parce que des données à caractère personnel sont rendues publiques qu’elles ne sont plus des données à caractère personnel ». 

Rappelons que ce raisonnement avait été repris d’un précédent avis rendu par l’avocat général de la CJUE Athanasios Rantos, dans l’affaire « Schrems vs Meta » le 4 octobre 2024, qui énonçait que le ciblage publicitaire ne pouvait aucunement utiliser des données à caractère personnel récupérées publiquement et donnant raison au militant Max Schrems.

Par conséquent, le responsable d’un traitement de données personnelles doit, en entraînant un modèle d’IA, s’assurer obligatoirement d’avoir identifié une base juridique sur laquelle doit s’appuyer le traitement des données ; autrement, le traitement sera considéré comme contraire au RGPD. Cette condamnation pourra donc à la fois servir de tremplin aux autres autorités de protection des données personnelles nationales pour harmoniser leurs raisonnements et leurs actions face aux violations constatées des règles juridiques du RGPD dans le domaine de l’IA, tout en dissuadant les entreprises de vouloir agir en violation de la loi.

Nous nous retrouvons donc face à une uniformisation des règles concernant le traitement des données personnelles dans un contexte de conception, de développement et de distribution des services créés par intelligence artificielle, et cela peut se lire comme une excellente nouvelle. En exigeant des mesures correctives strictes et immédiates, cette décision s’inscrit dans une tendance croissante des régulateurs européens à renforcer le contrôle des entreprises opérant dans le domaine de l’IA.

II. Un signal fort pour l’industrie de l’IA et les régulateurs européens

La condamnation d’OpenAI par la GPDP est également à saluer avec l’autre volet de l’affaire : le risque concernant l’exposition des enfants de moins de 13 ans aux réponses inadaptées proposées par le système d’IA. Sans avoir prévu de mécanisme de vérification d’âge, la société OpenAI n’a pas suffisamment pris en considération la vulnérabilité des enfants mineurs qui interagissent avec leurs systèmes d’IA rendus publics. Plus encore, cela est extrêmement révélateur du modèle économique proposé par les sociétés titulaires de modèles d’IA, qui collectent les données personnelles des utilisateurs mineurs sans établir aucune barrière via des systèmes de modération ou de vérification d’âge.

Outre l’amende infligée à OpenAI, la GPDP a obligé la société à procéder à une campagne de communication institutionnelle de six mois par le biais de plusieurs médias italiens comme la radio, Internet ou la télévision.

Avec cette condamnation à l’échelle de l’Union européenne, de nombreuses questions émergent concernant la conformité des systèmes d’IA générative vis-à-vis des exigences du RGPD, et plus précisément de la finalité du traitement des données personnelles collectées. Cette actualité illustre donc les enjeux et défis croissants posés par ces systèmes d’IA en matière de collecte, de traitement et de sécurité des données, tout en interrogeant le juste équilibre entre innovation technologique et respect des droits individuels.

Par conséquent, la protection des données personnelles des mineurs devient une préoccupation majeure pour l’Union européenne dans son objectif de pousser les différents acteurs du secteur technologique et numérique à se responsabiliser et respecter les obligations légales. À l’heure où l’Espagne ferme la porte de ses écoles à Google pour « présence d’une collecte invasive d’informations personnelles » et où les modèles d’IA sont de plus en plus utilisés par le plus grand nombre, 2025 pourrait être l’année de tous les dangers concernant l’utilisation et l’exploitation de nos données personnelles : affaire à suivre.

Sources : 

  • Fabienne JS, Dalloz Actualité, « IA générative et RGPD : L’Autorité italienne sanctionne OpenAI d’une amende de 15 millions d’euros », 2025
  • Mathieu de T, Le Figaro, « Nous sommes en présence d’une collecte invasive d’informations personnelles : l’Espagne ferme la porte de ses écoles à Google », 2025
  • Giada Z, APnews, « Italy’s privacy watchdog fines OpenAI for ChatGPT’s violations in collecting users personal data », 2025
  • EDPB, Opinion of the Board (Art.64), 2024