Office of the Privacy Commissioner of Canada
Office of the Privacy Commissioner of Canada
05/06/2026 | Press release | Distributed by Public on 05/06/2026 09:24
Résumé de l’enquête conjointe sur le service ChatGPT d’OpenAI
Le Commissariat à la protection de la vie privée du Canada (CPVP), en collaboration avec la Commission d'accès à l'information du Québec, le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l'information et à la protection de la vie privée de l'Alberta, a mené une enquête conjointe sur le service ChatGPT d'OpenAI afin d'évaluer si la collecte, l'utilisation et la communication des renseignements personnels des Canadiennes et des Canadiens par la société respectaient les lois fédérales et provinciales sur la protection des renseignements personnels.
Sur cette page
- Vue d'ensemble et conclusions principales
- Différences entre les juridictions et résultats de l'enquête
- Réponse et engagements futurs d'OpenAI
- Principaux points à retenir pour les organisations
Vue d'ensemble et conclusions principales
L'enquête a porté sur les premiers modèles de ChatGPT et a permis d'examiner la manière dont OpenAI a obtenu ses données d'entraînement - notamment le contenu extrait de sites accessibles au public, les ensembles de données sous licence et les interactions des utilisateurs. En outre, elle a permis d'établir si la société respecte les principaux principes de protection de la vie privée, tels que le consentement, la transparence et l'exactitude des données.
Les conclusions des organismes de réglementation font état de préoccupations en matière de protection de la vie privée liées, entre autres, à la quantité des données recueillies et au degré de sensibilité de celles-ci, ainsi qu'au caractère adéquat du consentement des utilisateurs. Par conséquent, les organismes de réglementation ont conclu que la manière dont OpenAI avait initialement entraîné ChatGPT n'était pas conforme aux lois fédérales et provinciales sur la protection des renseignements personnels. Plus précisément, les organismes en sont venus aux conclusions suivantes :
- Collecte excessive de renseignements personnels : OpenAI a recueilli d'énormes quantités de renseignements personnels sans mettre en place des mesures de protection adéquates pour empêcher l'utilisation de ces renseignements dans le cadre de l'entraînement de ses modèles. Il pourrait s'agir de renseignements sensibles concernant l'état de santé ou les opinions politiques des individus, ainsi que de renseignements sur des enfants.
- Absence de consentement valide et de transparence : OpenAI n'a pas obtenu un consentement valide pour la collecte des renseignements personnels, comme l'exigent les lois en matière de protection des renseignements personnels. De nombreux utilisateurs ignoraient que leurs données étaient recueillies et utilisées pour entraîner ChatGPT. OpenAI n'a pas clairement expliqué que les renseignements personnels recueillis à partir de sources accessibles au public pouvaient inclure des données provenant des réseaux sociaux, des forums de discussion et d'autres sites Web similaires.
- Inexactitudes factuelles et « hallucinations » fabriquées : OpenAI n'a pas averti adéquatement les utilisateurs des éventuelles inexactitudes contenues dans les réponses de ChatGPT. Jusqu'à tout récemment, la société n'avait pas procédé à une évaluation visant à vérifier l'exactitude des renseignements personnels figurant dans les réponses de ChatGPT aux invites des utilisateurs.
- Accès, correction et suppression : OpenAI n'a pas offert à tous les individus concernés un mécanisme facilement accessible et efficace pour accéder à leurs renseignements personnels, les corriger et les supprimer.
- Manque de responsabilité : OpenAI a lancé ChatGPT sans avoir pleinement pris en compte les risques connus en matière de protection de la vie privée et sans avoir établi de règles relatives à la suppression des données. Cette situation a exposé des individus à des risques de préjudice, notamment à des atteintes à la vie privée, à l'inexactitude des renseignements et à de la discrimination fondée sur des renseignements fournis à leur sujet.
Différences entre les juridictions et résultats de l'enquête
Bien que les lois sur la protection des renseignements personnels de la Colombie-Britannique, de l'Alberta et du Québec soient considérées comme essentiellement similaires à la loi fédérale en la matière dans le secteur privé, chaque juridiction a enquêté sur la conformité de la société aux lois précises dont elle veille à l'application. Les conclusions auxquelles est parvenu chaque organisme ont varié en raison des différences entre les lois que chacun applique.
| Organisme responsable de la protection de la vie privée | Loi applicable | Conclusion de l'enquête | Remarques |
| Commissariat à la protection de la vie privée du Canada | Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) | La plainte est fondée et conditionnellement résolue | Le CPVP estime que les mesures qu'OpenAI a mises en œuvre ou qu'elle mettra en œuvre réduiront considérablement le risque résiduel de préjudice pour les individus en ce qui a trait à la collecte, à l'utilisation et à la communication de leurs renseignements personnels dans le développement et le déploiement des modèles de ChatGPT. |
| Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique (CIPVP de la C.-B.) | Personal Information Protection Act - C.-B. (en anglais seulement) | La plainte est fondée et non résolue | Le CIPVP de la C.-B. a conclu que les modèles d'OpenAI, fondés sur des données moissonnées, contrevenaient aux obligations relatives au consentement de la PIPA de la C.-B., qui établissent des critères différents de ceux de la LPRPDE. Cependant, le CIPVP de la C.-B. a reconnu les efforts déployés par OpenAI pour améliorer sa conformité. |
| Commissariat à l'information et à la protection de la vie privée de l'Alberta (CIPVP de l'Alberta) | Personal Information Protection Act - Alberta (en anglais seulement) | La plainte est fondée et non résolue | Le CIPVP de l'Alberta a conclu que les modèles d'OpenAI, fondés sur des données moissonnées, contreviennent aux obligations relatives au consentement de la PIPA de l'Alberta, qui établissent des critères différents de ceux de la LPRPDE. Cependant, le CIPVP de l'Alberta a reconnu les efforts déployés par OpenAI pour améliorer sa conformité. |
| Commission d'accès à l'information du Québec (CAI) | Loi sur la protection des renseignements personnels dans le secteur privé |
La plainte est fondée et conditionnellement résolue en ce qui concerne les enjeux suivants : fins appropriées, droits des individus et responsabilité. La plainte est fondée et non résolue en ce qui concerne la question du consentement. Aucune conclusion n'a été formulée sur la plainte relative à la transparence et à l'exactitude en raison des spécificités de la loi québécoise. |
La CAI a formulé des recommandations précises en matière de consentement et de conservation afin qu'OpenAI se conforme à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. La CAI entend surveiller la mise en œuvre par OpenAI des recommandations conjointes ainsi que de ses propres recommandations. |
Réponse et engagements futurs d'OpenAI
OpenAI a déjà mis en place des mesures qui répondent à certaines des préoccupations mentionnées dans le rapport de conclusions, notamment en limitant de manière importante l'utilisation de renseignements personnels et sensibles utilisés pour entraîner de nouveaux modèles de ChatGPT. OpenAI a également abandonné ses anciens modèles de ChatGPT, qui avaient été entraînés d'une manière qui contrevenait aux lois canadiennes sur la protection des renseignements personnels.
Les modèles actuels qui alimentent ChatGPT ont été développés et déployés en fonction des nouvelles mesures de protection, ce qui a permis à la société d'améliorer ses pratiques relatives à la protection de la vie privée :
- Limiter l'utilisation de renseignements personnels : OpenAI a mis en œuvre un outil de filtrage pour détecter et masquer des renseignements personnels (comme des noms ou des numéros de téléphone) dans des données Internet accessibles au public et dans des ensembles de données sous licence utilisés pour entraîner ses modèles. L'outil réduit de façon importante la quantité de renseignements confidentiels et sensibles utilisés pour entraîner les modèles.
- Améliorer l'exactitude : OpenAI a lancé une nouvelle fonctionnalité de recherche sur le Web qui, lorsqu'elle est activée, effectue des recherches en temps réel et cite des sources Web précises utilisées pour le contenu produit par ChatGPT, permettant ainsi aux utilisateurs de vérifier eux-mêmes les renseignements.
- Améliorer l'accès : OpenAI a amélioré le courriel de réponse automatique que les utilisateurs reçoivent lorsqu'ils soumettent à OpenAI une demande d'accès afin de mieux expliquer comment accéder aux différents types de renseignements personnels.
- Faciliter la correction : OpenAI utilise la fonction de recherche sur le Web pour traiter les demandes de correction, permettant ainsi aux modèles de récupérer des renseignements accessibles au public et à jour sur un individu, et d'utiliser ces renseignements dans ses réponses.
- Améliorer la correction et la suppression : OpenAI a mis au point une solution technique permettant de bloquer certains renseignements personnels concernant une personnalité publique afin qu'ils n'apparaissent pas dans les résultats produits par les modèles. Ainsi, ChatGPT continue de fournir au public un accès aux renseignements pertinents, tout en veillant au respect du droit à la vie privée.
- Mettre en œuvre des politiques de conservation : OpenAI a mis en œuvre des politiques et des calendriers de conservation officiels régissant la conservation et la suppression des renseignements personnels traités en lien avec ChatGPT.
Améliorations à venir
OpenAI s'est aussi engagée à mettre en œuvre d'autres mesures selon un échéancier précis pour améliorer la transparence, l'accès, la conservation et la protection de la vie privée des enfants :
- [En même temps que la publication du rapport de conclusions] OpenAI publiera davantage de renseignements sur ses pratiques en matière de protection de la vie privée, dont de l'information sur les catégories de contenu utilisées pour entraîner ses modèles.
- [Dans les trois mois suivant la publication du rapport de conclusions] OpenAI présentera un avis indiquant que les clavardages peuvent être examinés et utilisés pour entraîner les modèles et conseillant aux utilisateurs de ne pas fournir de renseignements sensibles, et ce, avant que l'utilisateur n'entre sa première invite dans le cadre de l'expérience Web de ChatGPT.
- [Dans les six mois suivant la publication du rapport de conclusions] OpenAI rendra plus faciles à comprendre et à utiliser les exportations de données qu'elle fournit aux utilisateurs qui demandent à accéder à leurs renseignements personnels. De plus, elle expliquera plus en détail les méthodes qui sont offertes aux utilisateurs qui souhaitent remettre en question l'exhaustivité, l'exactitude ou la nature des renseignements fournis.
- [Dans les six mois suivant la publication du rapport des conclusions] OpenAI confirmera aux Commissariats qu'elle a mis en place des mesures de protection rigoureuses pour veiller à ce que les futurs ensembles de données devenus obsolètes et utilisés uniquement comme référence historique ne soient pas utilisés pour le développement actif de modèles. La société procédera également à des examens réguliers pour évaluer si ces ensembles de données doivent toujours être conservés.
- [Dans les six mois suivant la publication du rapport des conclusions] OpenAI testera des mesures de protection pour les membres mineurs de la famille des personnalités publiques, qui ne sont pas eux-mêmes des personnalités publiques, afin de s'assurer que les modèles refuseront les demandes relatives à leur nom ou à leur date de naissance.
OpenAI transmettra des rapports trimestriels au Commissariat à la protection de la vie privée du Canada et à ses partenaires provinciaux pour démontrer qu'elle respecte les engagements énoncés ci-dessus, et ce, jusqu'à ce qu'ils aient tous été tenus.
Principaux points à retenir pour les organisations
Les organisations ont la responsabilité de s'assurer que les produits et services qui utilisent l'IA sont conformes à la législation et à la réglementation nationales (fédérales et provinciales) et internationales en vigueur en matière de protection de la vie privée.
Les Principes pour des technologies de l'intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée peuvent aider les organisations à développer, à offrir et à utiliser l'IA générative au Canada.
Autres ressources pour les organisations :
- Déclaration commune sur la protection de la vie privée et les images générées par l'intelligence artificielle
- L'intelligence artificielle, la protection de la vie privée et votre entreprise
Liens connexes
- Communiqué : Une enquête conjointe sur le service ChatGPT d'OpenAI menée par les autorités canadiennes de protection de la vie privée permet de renforcer la protection des renseignements personnels des Canadiennes et des Canadiens
- Vue d'ensemble de l'enquête conjointe sur OpenAI OpCo, LLC
- Rapport de conclusions : Enquête conjointe sur OpenAI OpCo, LLC menée par le Commissariat à la protection de la vie privée du Canada, la Commission d'accès à l'information du Québec, le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique, et le Commissariat à l'information et à la protection de la vie privée de l'Alberta
Office of the Privacy Commissioner of Canada published this content on May 06, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on May 06, 2026 at 15:24 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]