Large Language Models

Deepseek et les LLMs chinois : dangers d'espionnage, collecte de données personnelles.

Raphaël Richard, 24pm Academy

En 2025, vous allez entendre de plus en plus parler des LLMs chinois: Deepseek, Yi-Lightning, Qwen... et même les utiliser sans le savoir. Vos données personnelles et d'entreprise sont-elles exposées ?

Dans les conditions générales d'utilisation du chatbot chinois Deepseek, on comprend à "nous collectons un maximum de données sur vous, pour les conserver sans limite de durée dans nos data centers chinois et en faire ce que nous voulons"

Or, je me souvenais qu'en 2017, la Chine avait voté une loi qui obligait toute entreprise chinoise à transmettre aux autorités l'intégralité des données (personnelles ou non) qu'elle avait collectées.

J'ai, donc, posé la question suivante à Deepseek.

"Quelle est la loi chinoise qui contraint les entreprises chinoises à transmettre les données personnelles de leurs utilisateurs aux autorités chinoises ?"

Il a répondu de façon rassurante:

- La Cybersecurity Law de 2017, prévoit que les entreprises chinoises ou étrangères opérant sur le sol chinois, sont obligées de stocker données personnelles et données critiques sur des serveurs situés en Chine et de permettre aux autorités chinoises d'accéder à ces données "si nécessaire".

- La "PIPL" (le RGPD local) de 2021, impose des "règles strictes sur la collecte, le stockage et le partage des données personnelles" et sur le consentement. Elle prévoit les "conditions sous lesquelles les données peuvent être partagées avec les autorités."

- La Data Security Law (DSL)de septembre 2021 vise à protéger les données sensibles et "à garantir la sécurité nationale".

ChatGPT, Mistral, Poe, Perplexity et Grok ont été un peu plus spécifiques lorsque je leur ai posé la même question.

La PIPL (le RGPD chinois) ne s'applique pas au gouvernement qui peut collecter des données personnelles, en direct, sans aucune restriction, ce qui fait dire à Séverine Arsène, chercheuse au Centre d'études français sur la Chine contemporaine: "Les individus et leurs données sont protégés vis-à-vis des autres, mais pas vis-à-vis de l’Etat [...] Une société qui gère un serveur sur le territoire chinois sera obligée de fournir les données personnelles si le gouvernement l’exige".

La DSL interdit aux entreprises de transmettre des données à un organisme judiciaire étranger sans l'approbation des autorités chinoises.

La National Intelligence Law de 2017 indique que les organismes d’État en charge du renseignement (services de sécurité, police...) peuvent exiger la collaboration de tout individu ou de toute entité qui "doivent soutenir, aider et coopérer avec les efforts de renseignement de l’État "

Tout cela vous impacte, si :

- vous utilisez un chatbot comme Deepseek

- vous développez une application qui fait appel aux APIs des LLMs chinois

- vous utilisez un chatbot ou une application qui font, eux-mêmes appel à des LLMs chinois), sans forcément vous l'indiquer...

Raphaël Richard, 24pm Academy
Tags : | | | | |

Search