Une étude portant sur 113 applications exploitant l'IA générative montre que la plupart d'entre elles ne respectent pas les normes de confidentialité des données. Une majorité d’applications font référence au RGPD sans comprendre ses implications extraterritoriales.

Selon une étude du Data Protection Excellence Centre, un bureau de recherche de Straits Interactive (société de Singapour spécialisée dans la gestion des risques et de la conformité), cette étude a révélé "d'importants problèmes de confidentialité dans les applications de bureau utilisant l'IA générative".

Cette étude s'est concentrée sur des applications provenant principalement d'Amérique du Nord (48 %) et de l'Union européenne (20 %). Les critères de sélection comprenaient les recommandations, les critiques et les publicités.

Les applications ont été classées en plusieurs catégories :
  • Applications de base : leaders du secteur de l'IA générative
  • Applications clones : généralement des startups ou des développeurs individuels
  • Applications combinées : applications existantes qui ont incorporé des fonctionnalités d'IA générative.
Environ 12 % des applications, essentiellement des startups et des développeurs individuels, n'ont pas publié de politique de confidentialité. Parmi celles qui en ont publié une, 69 % ont identifié une base juridique (telle que le consentement et l'exécution du contrat) pour traiter les informations personnelles identifiables.  

Allusion au RGPD

Seule la moitié des applications destinées aux enfants considéraient les restrictions d'âge et s'alignaient sur les normes de protection de la vie privée des enfants, telles que le Children's Online Privacy Protection Act (COPPA) aux États-Unis et/ou le règlement général sur la protection des données dans l'Union européenne.

L'étude montre que les applications ont tendance à collecter un nombre excessif d'informations personnelles identifiables par l'utilisateur, dépassant souvent leur utilité première.

Bien que 63 % d'entre eux aient cité le RGPD, seul un tiers relevait apparemment de son champ d'application. La majorité d'entre eux, qui sont accessibles à l'échelle mondiale, font allusion au RGPD sans comprendre quand il s'applique en dehors de l'UE.

Parmi les cas où le règlement européen semblait s'appliquer, 48 % étaient conformes, certains négligeant les exigences en matière de transfert international de données.  

Besoin pressant de clarté

Concernant la conservation des données, où les utilisateurs partagent fréquemment des données propriétaires ou personnelles, 35 % des applications ne précisaient pas les durées de conservation dans leurs politiques de confidentialité, comme l'exige le RGPD ou
d'autres lois.

Selon le rapport, la transparence sur l'utilisation de l'IA dans ces applications est limitée. Moins de 10 % d'entre elles ont divulgué de manière transparente l'utilisation de l'IA ou les sources des modèles.

Sur les 113 applications, 64 % sont restées ambiguës quant à leurs modèles d'IA, et une seule a précisé si l'IA influençait les décisions relatives aux données des utilisateurs.

À l'exception des acteurs les plus en vue comme OpenAI, Stability AI et Hugging Face, qui révèlent l'existence de leurs modèles d'IA, les autres applications s'appuient principalement sur des API d'IA établies, comme celles d'OpenAI, ou intègrent plusieurs modèles, selon le rapport.

"Cette étude met en évidence le besoin pressant de clarté et de conformité réglementaire dans la sphère des applications d'IA générative", a déclaré Kevin Shepherdson.

"Alors que les organisations et les utilisateurs adoptent de plus en plus l'IA, leurs données professionnelles et personnelles pourraient être mises en danger par des applications, dont beaucoup proviennent de startups ou de développeurs peu familiers avec les mandats de protection de la vie privée", déclare le PDG de Straits Interactive.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR