Résumé : l’autorité de protection des données italienne (GPDP) sanctionne une société éditant un chatbot à hauteur de 5 000 000 €
- La décision : Décision du Garante per la protezione dei dati personali (GPDP), l’autorité de la protection des données italienne du 10 avril 2025. Prononcé d’une amende administrative de 5 millions d’euros contre Luka Inc, société éditrice du chatbot Replika.
- Liens :
- Décision : https://gpdp.it/home/docweb/-/docweb-display/docweb/10132048
- Présentation de la décision par l’EDPB : https://www.edpb.europa.eu/news/national-news/2025/ai-italian-supervisory-authority-fines-company-behind-chatbot-replika_fr
- La société visée : Société américaine éditrice du chatbot Replika doté d’une interface écrite et vocale basé un système d’IA générative. Replika utilise un système LLM (Large Language Model) qui est constamment alimenté et affiné par l’interaction de l’utilisateur. Replika permet de créer un compagnon virtuel que l’utilisateur peut décider de configurer comme un ami, un thérapeute, un partenaire romantique ou un mentor.
- Type de sanction : Amende administrative de 5 millions d’euros, assortie d’une obligation de mise en conformité.
- Type de contrôle : Contrôle réalisé à l’issue d’une enquête déclenchée par la GPDP à la suite d’articles de presse et de vérifications préliminaires sur les activités du chatbot Replika.
- Textes visés : Article 5 & 6 du RGPD article 6 du RGPD (absence de mention de la finalité et de la base juridique); article 12 & 13 du RGPD (manque de transparence dans l’information donnée aux utilisateurs) ; article 24 et 25 du RGPD (absence de mécanisme de vérification de l’âge des utilisateurs).
Bonnes pratiques à retenir :
✅ Fournir une politique de confidentialité complète, accessible et disponible dans la langue des utilisateurs ;
✅ Mettre en œuvre des mécanismes de vérification de l’âge ;
✅ Identifier les bases légales de chaque traitement de données à caractère personnel ;
✅ Garantir la transparence des informations données.
Contact: Me Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat.fr, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel et DPO certifié (VERITAS), accompagne régulièrement ses clients pour des audits RGPD, lors des contrôles de la CNIL, et en tant que DPO externe.
