Le Canada estime qu’OpenAI a violé la législation sur la protection de la vie privée avec ChatGPT
/https%3A%2F%2Fcdn-tor.buminteractif.com%2F2026%2F05%2F06182751%2FGettyImages-2273992281.jpg)
Le 6 mai, le gouvernement du Canada a annoncé que son enquête sur OpenAI et son produit ChatGPT avait révélé que l'entreprise ne respectait pas la législation canadienne en matière de protection de la vie privée. ChatGPT a enfreint cette législation par le biais de son programme d'apprentissage automatique et de son entraînement continu à partir de requêtes publiques.
Le modèle d'IA a enfreint l'exigence canadienne de consentement implicite en ne révélant pas dans quelle mesure il utilise les données des utilisateurs pour s'entraîner. Selon le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, ChatGPT est désormais conforme aux normes fédérales, mais il a souligné lors d'une conférence de presse que les entreprises doivent se conformer à ces normes avant de commercialiser leurs produits, et non deux ans après.
Une enquête de deux ans
L'enquête sur les violations de la vie privée commises par ChatGPT a débuté en avril 2023, sous l'égide du Commissariat à la protection de la vie privée du Canada et de ses homologues du Québec, de la Colombie-Britannique et de l'Alberta. L'enquête a été lancée après que les organismes canadiens de surveillance de la protection de la vie privée ont appris que ChatGPT pouvait collecter des informations auprès de Canadiens sans les en avertir. Bien que l'application comportât des mentions détaillées, aucune n'était visible d'emblée, et aucune n'était
Phillippe Dufresne était accompagné du commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, Michael Harvey.
Selon M. Dufresne, OpenAI a désormais « résolu sous condition » le problème en prenant des mesures pour limiter la portée des informations qu'elle recueille auprès des utilisateurs. Il a souligné que le problème réside dans le fait que ChatGPT n'était pas conforme depuis plus de deux ans.
« Nous avons constaté un manque de responsabilité. »
Selon M. Dufresne, les dirigeants d'OpenAI ont déclaré avoir « précipité » le lancement de ChatGPT sur les marchés canadiens après que la menace posée par d'autres modèles d'IA est devenue évidente. M. Dufresne a affirmé que les dirigeants de l'entreprise lui avaient indiqué que ChatGPT avait été lancé sur les marchés canadiens après des « tests limités », ce qui signifie que le modèle a dû être entraîné à la volée à l'aide de prompts et de conversations provenant d'utilisateurs canadiens.
« Nous avons constaté qu'il y avait des mesures qu'ils auraient dû prendre, et qu'ils ont désormais prises, mais qui auraient dû être mises en œuvre avant le lancement. C'est le message que nous adressons aux organisations : vous devez faire cela au préalable. »
Alors que l'enquête a débuté en avril 2023, ChatGPT a été lancé au Canada en novembre 2022, ce qui signifie que l'application était active et collectait les données des Canadiens depuis au moins quatre mois avant que le gouvernement canadien n'ouvre son enquête. Le gouvernement n'a lancé d'enquête officielle conjointe qu'en mai 2023.
Quelles données ont été collectées
Selon le rapport des organismes canadiens de protection de la vie privée, ChatGPT collectait un large éventail de données auprès des Canadiens. À un niveau élémentaire, ChatGPT collectait des informations issues de conversations avec des Canadiens. Ces données pouvaient inclure l'état de santé, les opinions politiques, les opinions personnelles et, plus précisément, des informations sur les enfants de l'utilisateur. ChatGPT utilise vos conversations pour établir un « profil » afin de personnaliser l'expérience utilisateur. Cela signifie que ChatGPT souhaite savoir qui vous êtes afin de répondre au mieux aux demandes individuelles des utilisateurs. L'enquête a également révélé qu'OpenAI collectait des informations personnelles à partir de « sources accessibles au public » telles que les réseaux sociaux, les forums de discussion et d'autres sites similaires. ChatGPT pouvait effectuer des recherches sur l'utilisateur afin de créer au mieux un profil pour chaque utilisateur individuel. ChatGPT ne collectait pas de données à partir de disques durs d'ordinateurs ou de sources illégales, ce qui aurait constitué une violation des lois canadiennes sur la protection de la vie privée, mais cette situation était due à son manque de transparence.
Quelles lois a-t-il enfreintes, et comment la situation a-t-elle évolué ?
Dans un monde où les données des individus sont exploitées comme de l'or, le gouvernement canadien vise à limiter le volume de données que les entreprises peuvent collecter. Il le fait par le biais de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Dans la section trois de la LPRPDE, le gouvernement décrit en termes clairs les responsabilités des entreprises technologiques, la manière de s'acquitter de ces responsabilités et des conseils pour respecter la norme.
La LPRPDE précise clairement quand les entreprises doivent obtenir un consentement explicite plutôt qu'un consentement implicite. Selon la loi, les organisations doivent obtenir un consentement explicite lorsqu'elles collectent des renseignements « sensibles » (personnels), lorsque les renseignements collectés dépassent les « attentes raisonnables de la personne » ou lorsque les renseignements collectés pourraient présenter un risque pour la personne. Il n'est pas difficile de voir en quoi ChatGPT a enfreint ces dispositions. Les informations relatives à l'état de santé et aux enfants sont sans aucun doute « sensibles », et bien que de nombreux Canadiens aient supposé que ChatGPT « apprenait » à partir de leurs conversations, l'ampleur de la collecte de données par ChatGPT est jugée déraisonnable par le gouvernement canadien.
Consentement explicite vs consentement implicite
Le consentement explicite est clairement énoncé dans un accord qui doit être signé avant qu'un utilisateur ne puisse bénéficier d'un service. Il est souvent obtenu par le biais de fenêtres contextuelles qui empêchent l'utilisateur d'accéder à un service tant que le consentement n'a pas été donné. Le consentement implicite est plus délicat, le gouvernement s'appuyant sur l'idée que les Canadiens devraient avoir une connaissance générale du fonctionnement de la collecte de données. Par exemple, lorsque vous vous inscrivez à une newsletter par e-mail, vous donnez votre consentement implicite à cette organisation pour qu'elle utilise votre adresse e-mail à des fins de communication et de partage de données. Alors que la question de la vie privée sur les réseaux sociaux et l'IA dominent les débats technologiques à travers le monde, et que de nombreux pays mettent en place des restrictions d'âge ou des interdictions des réseaux sociaux, l'enquête de l'OPCC n'est très probablement que le début de la bataille du Canada pour la protection de la vie privée.
