Une décision attendue depuis trois ans
Le 6 mai 2026, à 11 heures au National Press Theatre d'Ottawa, le Commissaire fédéral à la vie privée Philippe Dufresne a présenté, aux côtés de Naomi Ayotte (vice-présidente de la CAI), Michael Harvey (Colombie-Britannique) et Diane McLeod (Alberta), les conclusions de l'enquête conjointe ouverte en 2023 contre OpenAI. C'est la première fois que les quatre autorités qui couvrent la quasi-totalité du territoire canadien produisent une décision commune sur un grand modèle de langage, et cette décision pose des balises qui dépasseront largement le cas ChatGPT.
L'enquête répondait à une plainte déposée à la suite d'un incident de sécurité survenu chez OpenAI en mars 2023, et plus largement aux interrogations soulevées par l'usage massif de données scrappées sur le Web public pour entraîner les modèles. Trois ans plus tard, la décision est sans ambiguïté : ni l'entraînement initial ni le déploiement de ChatGPT au Canada ne respectaient les lois fédérales et provinciales applicables.
Cinq manquements documentés
Les autorités retiennent cinq catégories de manquements aux lois canadiennes et québécoises sur la protection des renseignements personnels. D'abord une collecte excessive : pour bâtir ses modèles, OpenAI a aspiré des données du Web public sans distinguer les contenus sensibles (informations sur la santé, opinions politiques, données concernant des enfants) des contenus banals. Ensuite, un consentement invalide : les Canadiens dont les renseignements ont nourri l'entraînement n'ont jamais été informés de cette collecte, ni n'ont eu la possibilité de la refuser, alors que la Loi 25 exige un consentement libre et éclairé. Troisièmement, un défaut de transparence : avant 2024, OpenAI n'avertissait pas suffisamment les utilisateurs de ChatGPT que leurs conversations pouvaient être réinjectées dans l'entraînement et que les réponses du modèle pouvaient contenir des inexactitudes factuelles à leur sujet.
Quatrième constat, et c'est probablement le plus structurant pour les juristes : OpenAI n'avait pas mis en place de mécanismes opérationnels d'accès, de rectification et de suppression. Les Canadiens qui retrouvaient des informations erronées les concernant dans les réponses du modèle n'avaient en pratique aucun recours technique. Cinquième manquement, une responsabilisation lacunaire : l'entreprise n'avait pas conduit, avant le déploiement, l'analyse formalisée des risques pour la vie privée que les autorités attendent désormais de tout fournisseur de service traitant des données canadiennes.
Quatre recommandations made-in-Québec
C'est la CAI qui a porté les recommandations les plus précises de la décision conjointe. La Commission demande à OpenAI quatre choses concrètes. Premièrement, mettre en place, dès la collecte, des mesures raisonnables pour respecter les obligations d'information ou obtenir le consentement, ce qui suppose un travail technique de filtrage à la source. Deuxièmement, avertir explicitement les utilisateurs de la version gratuite que leurs clavardages pourraient être examinés et utilisés à des fins d'entraînement du modèle, une obligation qui rejoint la logique de transparence de la Loi 25. Troisièmement, inverser les paramètres par défaut : les conversations ne devraient plus être utilisées pour l'entraînement à moins d'un opt-in actif de l'utilisateur. Quatrièmement, informer les utilisateurs sur la conservation des données historiques, ou procéder à leur destruction ou à leur anonymisation lorsque la conservation n'est plus justifiée.
Ces quatre recommandations ne sortent pas de nulle part. Elles transposent, dans le contexte spécifique d'un grand modèle de langage, les exigences déjà inscrites à la Loi 25 sur le consentement explicite, la minimisation et le droit à l'effacement. Pour Lise Girard, présidente de la CAI, la position de fond est sans détour : « L'innovation ne saurait justifier, à elle seule, une atteinte aux droits fondamentaux. »
Pourquoi pas de sanctions
Aucune amende ni ordonnance contraignante n'est imposée à OpenAI. Trois raisons cohabitent. La plainte est déclarée « bien fondée et résolue conditionnellement », formule du CPVP qui indique que l'entreprise a déjà commencé à corriger le tir. OpenAI a effectivement abandonné ChatGPT 3.5 et 4, restreint les données utilisées pour les nouveaux modèles, et s'est engagée à déployer des mesures supplémentaires de protection dans un délai de six mois. La CAI, par la voix de Naomi Ayotte, a précisé que dans le cadre d'une enquête conjointe et au regard des actions correctives, le choix retenu a été d'émettre des recommandations plutôt que de sanctionner.
Dernier facteur, le plus politique : Philippe Dufresne ne dispose toujours pas, au fédéral, du pouvoir d'imposer des amendes ou des ordonnances. Il a saisi la conférence de presse pour redire que la modernisation de la Loi sur la protection des renseignements personnels et les documents électroniques est urgente, et que la simple « présence d'un risque de sanctions » suffirait à motiver des changements plus rapides chez les fournisseurs d'IA. Le contraste avec la CAI, qui dispose depuis la Loi 25 d'un régime de sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, est devenu un argument central du débat fédéral.
Ce que la décision change pour les organisations québécoises
Pour les entreprises et les organismes publics établis au Québec, la décision a trois effets immédiats. Elle confirme que la Loi 25 s'applique pleinement aux fournisseurs de modèles d'IA générative, y compris quand l'entraînement a lieu à l'étranger sur des données scrappées. Elle clarifie que les évaluations des facteurs relatifs à la vie privée, les EFVP, doivent être conduites avant tout déploiement d'un système d'IA générative, ce qui rejoint la logique de la Directive sur l'IA dans le secteur public dont la conformité totale est attendue le 5 juin 2026. Et elle livre, à travers les quatre recommandations adressées à OpenAI, un mode d'emploi exploitable par les responsables de la conformité : transparence à la collecte, information à l'usage, paramètres par défaut respectueux et politiques de conservation documentées.
À court terme, les directions juridiques québécoises retiendront surtout que le risque s'est déplacé. Il ne porte plus seulement sur l'utilisation des outils d'IA par les employés, mais sur la chaîne complète, depuis l'entraînement du modèle jusqu'à la génération de la réponse. Le Québec, en obtenant que ses recommandations figurent au cœur d'une décision pancanadienne, vient de se positionner comme un référent normatif au-delà de ses frontières.
Sources
- Résultats de l'enquête conjointe sur OpenAI ChatGPT, Gouvernement du Québec, 6 mai 2026
- Joint investigation by Canadian privacy regulators into OpenAI's ChatGPT, OPC, 6 mai 2026
- OpenAI n'a pas respecté la loi sur les données personnelles, mais ne sera pas sanctionnée, Radio-Canada, 6 mai 2026
- OpenAI a manqué à ses obligations, selon des commissaires canadiens, La Presse, 6 mai 2026
- OpenAI n'a pas respecté la loi canadienne lors de l'entraînement de ChatGPT, Les Affaires, 6 mai 2026
