La CNPD souhaite sensibiliser le public sur les risques associés à l'utilisation de l'outil d'intelligence artificielle DeepSeek R1 (DeepSeek). Bien que ce modèle d'IA générative soit librement accessible sur Internet, il n'est pas conçu pour les consommateurs européens.
DeepSeek, développé en Chine par l’entreprise homonyme, est mis à disposition en open source, y compris au sein de l'Union européenne via des plateformes comme Hugging Face. Toutefois, son utilisation soulève des préoccupations importantes, notamment en matière de collecte et de traitement des données sans garanties suffisantes. En effet, les données saisies par les utilisateurs dans les « prompts » peuvent être enregistrées, transférées, stockées ou analysées sans cadre clair de protection des données.
De plus, cela implique des difficultés, voire une impossibilité, pour les personnes concernées d'exercer leurs droits prévus par le Règlement général sur la protection des données (RGPD). L'absence d'un représentant de l’entreprise DeepSeek dans l’Union européenne crée une insécurité juridique pour les utilisateurs du Luxembourg et de l’UE. Cela entraîne un déficit de garanties claires en matière de conformité au RGPD, un manque de transparence sur la gouvernance de cette IA, ainsi que l'implication potentielle d'acteurs étatiques ou tiers dans la gestion des données, amplifiant les risques de violation des données personnelles et du droit fondamental au respect de la vie privée.
Par ailleurs, le fait que DeepSeek ou son responsable de traitement ne soit pas établi sur le territoire de l'Union européenne et qu’elle n’ait pas désignée de représentant légal dans l’Union européenne, implique que la coopération avec la CNPD et d'autres autorités de protection des données européennes est incertaine, rendant toute régulation ou recours en cas d'abus particulièrement complexe. Contrairement aux entreprises établies sur le territoire de l'UE ou y ayant établi un représentant, qui doivent se conformer au RGPD, l’absence d’un représentant de DeepSeek en Europe rend difficile, voire impossible, l’exercice des droits (accès, rectification, suppression des données) des citoyens.
Afin de limiter les risques liés à l’utilisation de DeepSeek, la CNPD formule plusieurs recommandations ci-dessous :
- Éviter d’installer le modèle DeepSeek et ses fichiers de configuration dans tout environnement informatique, afin de limiter l'exposition aux risques de fuite ou de mauvaise utilisation des données.
- Lors de l'utilisation de l'interface en ligne, ne jamais saisir de données personnelles ou confidentielles, car celles-ci pourraient être exploitées sans garanties adéquates.
- Sensibiliser activement les collaborateurs (sphère professionnelle) et les utilisateurs (sphère personnelle) d'Internet aux risques liés à l'usage de cette IA.
- Privilégier des outils d'IA conformes au cadre réglementaire européen (RGPD, AI Act), respectant les principes de protection des données et offrant des garanties claires en matière de sécurité et de respect de la vie privée.
La CNPD reste vigilante quant à l'évolution de l'intelligence artificielle et travaille à la mise en place de cadres réglementaires adaptés pour protéger les citoyens luxembourgeois et européens contre les risques liés à ces nouvelles technologies.