Des responsables canadiens de la protection des données affirment qu’OpenAI n’aurait pas respecté les règles fédérales et provinciales encadrant la confidentialité des informations personnelles lors de l’entraînement de ses modèles d’intelligence artificielle. L’enquête, menée par le Commissariat à la protection de la vie privée du Canada et plusieurs autorités provinciales, met en cause la collecte de données, le consentement et les possibilités de contrôle offertes aux personnes concernées.

Des reproches centrés sur la collecte de données et le consentement

Selon les conclusions rendues publiques, OpenAI n’aurait pas été conforme aux exigences applicables, notamment la Personal Information Protection and Electronic Documents Act (PIPEDA), qui encadre l’utilisation des informations personnelles dans le cadre d’activités commerciales. Les autorités indiquent notamment que l’entreprise aurait rassemblé de grandes quantités d’informations personnelles sans garanties suffisantes pour empêcher leur utilisation dans le but d’entraîner les modèles.

Les enquêteurs relèvent aussi l’absence de consentement adéquat pour la collecte et l’exploitation de ces données. Bien que des avertissements liés à ChatGPT mentionnent que des interactions pourraient contribuer à l’entraînement, les autorités soulignent que des données provenant de tiers — achetées ou récupérées depuis des sources en ligne — peuvent contenir des renseignements personnels que certaines personnes n’avaient pas nécessairement conscience de voir utilisées.

Un accès limité aux données pour les utilisateurs

Les autorités canadiennes pointent également un autre angle jugé problématique : les utilisateurs ne disposeraient pas, dans l’état actuel, de moyens simples pour consulter, corriger ou supprimer les données susceptibles d’être utilisées dans l’entraînement. Elles mentionnent, en outre, des difficultés liées à la fiabilité de certaines réponses générées par ChatGPT.

Des ajustements annoncés par OpenAI

De son côté, le Commissariat à la protection de la vie privée du Canada indique qu’OpenAI s’est montré coopératif pendant l’enquête et affirme que l’entreprise a déjà entrepris plusieurs modifications pour mieux se conformer aux exigences canadiennes. Parmi les mesures évoquées figurent l’arrêt de modèles antérieurs jugés non conformes et l’ajout d’un outil de filtrage destiné à détecter et masquer des informations personnelles, comme des noms ou des numéros de téléphone, dans des données accessibles publiquement et dans des jeux de données sous licence utilisés pour entraîner les modèles.

Les autorités rapportent aussi qu’OpenAI s’est engagée à renforcer l’information fournie aux utilisateurs, notamment concernant l’utilisation possible des conversations pour l’entraînement lorsque le service n’est pas en mode déconnecté, ainsi que la nécessité de ne pas partager de données sensibles.

Un contexte réglementaire plus large

L’enquête sur la confidentialité s’inscrit dans un contexte où OpenAI fait l’objet d’un suivi plus étroit de la part de régulateurs canadiens. Plus récemment, l’entreprise a été scrutée pour sa gestion de sujets de sécurité, après un incident impliquant une attaque survenue au Canada en février 2026. Les autorités ont demandé des changements et une meilleure collaboration à l’avenir, ce qui illustre la volonté des régulateurs d’obtenir des garanties à la fois sur la sécurité des systèmes et sur la protection des données personnelles.

Pour les entreprises ou équipes qui cherchent à mieux encadrer la conformité autour de l’usage de données sensibles et des outils d’IA, un logiciel de gestion de conformité peut aider à structurer les processus internes (traçabilité, documentation et contrôles). De même, un outil de gestion du consentement peut contribuer à formaliser la façon dont les informations personnelles sont collectées et utilisées, notamment lorsqu’une organisation met en place des fonctionnalités d’IA ou d’analyse.