La Commission Nationale pour la Protection des Données sensibilise la population luxembourgeoise sur les risques associés à l’utilisation de DeepSeek, le concurrent chinois de ChatGPT. « Bien que ce modèle d’IA générative soit librement accessible sur Internet, il n’est pas conçu pour les consommateurs européens » alerte la CNPD dans un communiqué.
Développé en Chine par l’entreprise du même nom, DeepSeek est mis à disposition en open source, y compris au sein de l’Union européenne via des plateformes comme Hugging Face. Toutefois, son utilisation soulève des préoccupations importantes, au Luxembourg mais pas que, notamment en matière de collecte et de traitement des données sans garanties suffisantes. La CNPD attire ainsi notre attention sur le fait que les données saisies par les utilisateurs dans les prompts peuvent être enregistrées, transférées, stockées ou analysées sans cadre clair de protection des données.
« L’absence d’un représentant de l’entreprise DeepSeek dans l’Union européenne crée une insécurité juridique pour les utilisateurs du Luxembourg et de l’UE. Cela entraîne un déficit de garanties claires en matière de conformité au RGPD, un manque de transparence sur la gouvernance de cette IA, ainsi que l’implication potentielle d’acteurs étatiques ou tiers dans la gestion des données, amplifiant les risques de violation des données personnelles et du droit fondamental au respect de la vie privée. » s’inquiète la Commission luxembourgeoise qui rappelle que, contrairement aux entreprises établies sur le territoire de l’UE ou y ayant établi un représentant, et qui doivent se conformer au RGPD, l’absence d’un représentant de DeepSeek en Europe rend difficile, voire impossible, l’exercice des droits (accès, rectification, suppression des données) des citoyens.
4 recommandations pour limiter les risques de fuites
Afin de limiter les risques liés à l’utilisation de DeepSeek, la CNPD formule plusieurs recommandations dans son communiqué:
- Éviter d’installer le modèle DeepSeek et ses fichiers de configuration dans tout environnement informatique, afin de limiter l’exposition aux risques de fuite ou de mauvaise utilisation des données.
- Lors de l’utilisation de l’interface en ligne, ne jamais saisir de données personnelles ou confidentielles, car celles-ci pourraient être exploitées sans garanties adéquates.
- Sensibiliser activement les collaborateurs (sphère professionnelle) et les utilisateurs (sphère personnelle) d’Internet aux risques liés à l’usage de cette IA.
- Privilégier des outils d’IA conformes au cadre réglementaire européen (RGPD, AI Act), respectant les principes de protection des données et offrant des garanties claires en matière de sécurité et de respect de la vie privée.
La CNPD annonce rester vigilante quant à l’évolution de l’intelligence artificielle et travailler à la mise en place de cadres réglementaires adaptés pour protéger les citoyens luxembourgeois et européens contre les risques liés à ces nouvelles technologies.
