Le nouveau chatbot de Microsoft : traitement des données personnelles et responsabilité

Dernière mise à jour : févr. 26


A l’heure où la Commission Nationale de l’Informatique et des Libertés (ci-après dénommée « CNIL ») édicte des recommandations concernant la technologie des chatbots [1], un agent conversationnel d’un genre nouveau fait son apparition.


Le 1er décembre 2020, l’USPTO (United States Patent and Trademark Office) a enregistré le nouveau brevet élaboré par la société Microsoft, relatif à la mise en place d’un chatbot permettant de dialoguer avec une personne identifiée, vivante ou décédée, dont les propos sont imités par un algorithme.


Ce brevet, intitulé « Créer un chatbot conversationnel d’une personne spécifique » (« Creating a conversational chat bot of a specific person »), permet d’entretenir virtuellement une discussion avec un robot reproduisant le comportement (et surtout les paroles) d’une personne déterminée en utilisant ses données à caractère personnel précédemment collectées.


Dans son brevet, Microsoft rappelle le fonctionnement du chatbot, défini comme « un programme informatique conversationnel qui simule une conversation humaine en utilisant des canaux de saisie textuels et/ou auditifs » [2].


Le chatbot breveté par Microsoft va plus loin qu’un chatbot dit « traditionnel ». Alors que ce dernier crée une conversation standardisée dénuée de toute personnalité, le nouvel agent conversationnel cherche à imiter une personne déterminée. Pour ce faire, les données à caractère personnel collectées précédemment sur cette personne (images, enregistrements vocaux, messages électroniques, lettres), notamment via les réseaux sociaux, sont utilisées afin de personnaliser la conversation générée par le robot. Ce chatbot devrait même être capable de recréer la voix ou l’image de la personne, à l’aide d’enregistrements sonores, d’images ou de vidéos précédemment collectés.


Ainsi, l’agent conversationnel peut « imaginer » la conversation que l’utilisateur du chatbot aurait pu avoir avec « un ami, un parent, une connaissance, une célébrité, un personnage fictif » ou encore « un personnage historique » [3].


Cette nouvelle technologie, qui n’est pas sans rappeler celle utilisée dans un épisode de Black Mirror [4], est susceptible de soulever de nombreuses problématiques juridiques en droit français.


En effet, elle semble peu compatible avec certaines règlementations relatives aux données personnelles, notamment concernant le principe de finalité du traitement et de minimisation des données (I). Au-delà des problématiques intéressant les données personnelles, ce chatbot d’un nouveau genre impose également de s’interroger sur les risques d’usurpation d’identité numérique qu’il pourrait entraîner (II).

I- Sur la règlementation relative aux données à caractère personnel


Que le chatbot imaginé par Microsoft imite une personne vivante ou décédée, la question se pose de savoir si une telle technologie est compatible avec le principe de finalité du traitement des données à caractère personnel (1). Par ailleurs, il convient également de déterminer si le traitement réalisé par le chatbot respecte le principe de minimisation des données (2).


1. Sur le principe de la finalité de traitement des données personnelles


L’entrée en vigueur du Règlement Général sur la Protection des Données [5] (ci-après dénommé « RGPD ») a renforcé l’encadrement du traitement des données présentant un caractère personnel en complétant les dispositions de la loi dite « informatique et libertés » [6] (ci-après dénommée « loi LIL »).


Il en résulte que tout responsable de traitement qui souhaite réaliser un traitement de données personnelles doit en déterminer les finalités.


L’article 5.1, b) du RGPD dispose, en ce sens, « les données à caractère personnel doivent être […] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Pour le dire autrement, le responsable de traitement a l’obligation de déterminer la finalité pour laquelle il collecte les données personnelles, cette dernière devant être claire et explicite. Par ailleurs, il lui est interdit de réaliser un traitement des données recueillies dans une finalité autre que celle initialement mentionnée.


Le non-respect de cette disposition est sanctionné par l’article 226-21 du code pénal qui prévoit que le responsable de traitement qui utilise les données recueillies dans un autre but que celui initialement déterminé encourt cinq ans d’emprisonnement et trois cent mille euros d’amende. Tel est notamment le cas lorsque deux agents du service du personnel d’EDF produisent, dans le cadre d’une instance prud’homale, des extraits du compte cotisations retraite d’une ancienne salariée faisant apparaître le non-respect, par cette dernière, des obligations dont elle était investie durant son congé sans solde. En ce sens, la cour d’appel de Versailles a jugé que « les besoins de la défense d’EDF devant les prud’hommes ne [pouvaient] pas excuser le fait d’avoir commis sciemment ce détournement de finalité » et a condamné les agents ayant fournis un tel document [7].


En l’occurrence, le chatbot imaginé par Microsoft semble aller à l’encontre de ce principe de finalité du traitement.


En effet, le fonctionnement de l’agent conversationnel suppose l’agrégation d’un maximum de données personnelles sur la personne « imitée ». Le document publié par l’USPTO indique que les données recueillies sur la personne proviennent de différentes sources, et notamment d’e-mails, de données de géolocalisation, de publications réalisées sur les réseaux sociaux, d’images ou encore d’enregistrements vocaux. Autrement dit, le chatbot collecte, au sein des différents logiciels utilisés par l’internaute, les données nécessaires à son bon fonctionnement.


Or, si la collecte des données personnelles de l’internaute est encadrée au sein de chacun de ces logiciels, cet encadrement ne concerne pas l’utilisation des données par le chatbot de Microsoft. Ainsi, le fait pour l’agent conversationnel de les agréger afin de reproduire la conversation d’une personne déterminée pourrait constituer un détournement de la finalité du traitement des données à caractère personnel de l’internaute.


De ce fait et afin de se conformer aux dispositions du RGPD, il apparaît nécessaire pour Microsoft d’imaginer un mécanisme avertissant l’utilisateur de ces différents logiciels du fait qu’un second traitement sera réalisé sur ses données personnelles, permettant le fonctionnement dudit chatbot.


Par ailleurs, la finalité du traitement détermine également la durée de conservation des données personnelles recueillies.


L’article 5.1, e) du RGPD dispose, en ce sens, « les données à caractère personnel doivent être […] conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cet article énonce un principe de limitation de la conservation des données dans le temps, qui est intimement lié à la finalité poursuivie par le responsable de traitement. Ainsi, ce dernier ne peut conserver les données une fois la finalité atteinte, cette conservation n’étant plus justifiée.


En l’occurrence, la finalité de traitement du chatbot étant d’imiter lors de conversations générées par une intelligence artificielle des personnes déterminées, et ce même après leur décès, il est nécessaire de conserver les données personnelles recueillies pendant une période indéterminée. Or, une fois encore, cela semble se heurter au principe de la limitation de la conservation des données dans le temps, ces dernières étant conservées même après le décès de la personne.


Pour permettre une conformité du chatbot au RGPD, il semblerait nécessaire de déterminer de manière arbitraire une durée de conservation desdites données, par exemple cent ans après le décès de la personne imitée. De ce fait, la conservation des données par Microsoft n’apparaîtrait plus comme étant illimitée et lui permettrait de réaliser la finalité de traitement initialement envisagée.


Au-delà de déterminer la durée de conservation des données recueillies, cette finalité détermine également le type et la quantité de données pouvant être collectées par le responsable de traitement.


2. Sur le principe de minimisation des données personnelles


En vertu du RGPD, le responsable de traitement doit également respecter le principe de minimisation de la collecte des données.


En effet, l’article 5.1, c) du RGPD dispose « les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Il résulte de ces dispositions que le responsable de traitement doit limiter la collecte aux données réellement nécessaires à la finalité poursuivie. Tel est, par exemple, le cas de l’adresse du destinataire d’un colis, mais pas de sa date de naissance.

Sur le fondement de la minimisation des données, la CNIL a sanctionné une entreprise procédant à l’enregistrement systématique des conversations entre les salariés de son service client et les clients, et ce dans le but de former lesdits salariés. Ces enregistrements n’étant pas limités au strict nécessaire, les codes de carte bleue des clients étant par ailleurs communiqués lors de ces conversations, la CNIL a considéré que le principe de minimisation des données n’était pas respecté [8].


Dans le cas précis du chatbot développé par Microsoft, l’objectif est de réaliser une imitation authentique de la personne. Afin d’assurer la crédibilité maximale de cette imitation, l’agent conversationnel doit pouvoir reproduire son mode d’expression, certaines de ses habitudes de langages ou tout autre élément permettant à l’internaute avec lequel il discute de la reconnaître ou, du moins, de l’identifier. De ce fait, toute information ou donnée concernant la personne, même la plus insignifiante, pourrait être utile au chatbot pour générer la conversation la plus vraisemblable.


Ainsi, faut-il considérer que cette collecte globale, conforme à la finalité poursuivie, est légitime ? En effet, bien qu’elle puisse être justifiée par la finalité du traitement, l’on voit mal comment cette collecte généralisée pourrait ne pas entrer en contradiction avec le principe de minimisation des données. Car si la finalité du traitement permet de justifier une collecte « globale » des données, il semble que le principe de minimisation soit quelque peu vidé de sa substance.


Là encore, pour éviter d’entrer en contradiction avec le principe de minimisation, Microsoft pourrait sélectionner un type de données considéré comme étant indispensable à l’objectif recherché par le chatbot, lui permettant ainsi de collecter une partie seulement des données de l’internaute. Cela semblerait plus respectueux du principe de proportionnalité et de minimisation des données, en vertu duquel seules les données nécessaires au traitement réalisé doivent être recueillies.


Outre ces questionnements relatifs aux données personnelles, il est également possible de s’interroger sur les mécanismes de responsabilité à mettre en œuvre en cas d’usurpation d’identité causée par le nouveau chatbot de Microsoft.


II- Sur l’usurpation d’identité numérique et la responsabilité


Qu’il s’agisse d’une personne vivante ou décédée, le chatbot imaginé par Microsoft reproduit, à la place d’une personne, la conversation que cette dernière aurait pu avoir. En d’autres termes, la machine se fait « passer pour » la personne qu’elle imite. Or, une telle imitation pourrait entraîner une confusion susceptible, le cas échéant, d’être qualifiée d’usurpation d’identité.


L’usurpation d’identité se définit comme l’usage d’une ou de plusieurs données de toute nature permettant à une personne de se faire identifier comme étant un tiers.


Ces cas d’usurpations d’identité ne sont pas rares dans le domaine numérique. Afin d’éviter cette dérive, la loi n° 2011-267 du 14 mars 2011 dite « LOPPSI II » a créé une infraction spécifique permettant de réprimer l’usurpation d’identité numérique. L’article 226-4-1 du code pénal dispose, en ce sens, que « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende ».


En vertu de cette disposition, le délit n’est constitué que si l’usurpateur a pour but de troubler la tranquillité de la personne pour laquelle il se fait passer, de porter atteinte à son honneur ou à sa considération. Tel est le cas, par exemple, de l’informaticien qui crée un site internet reprenant la présentation du site officiel d’une femme politique, afin d’y publier de faux communiqués de presse comportant des propos obscènes et dégradants pour l’élue [9].


Dans l’hypothèse du chatbot élaboré par Microsoft, c’est le logiciel qui « prendrait » l’identité de la personne imitée ou usurpée. Pour ce faire, il po