CanucktAI
Retour au blogue
IA pour les entreprises July 10, 2026 9 min de lecture

Ce que la décision du CPVP sur ChatGPT signifie pour votre entreprise canadienne

Les autorités fédérale et provinciales de protection de la vie privée du Canada ont conclu qu'OpenAI a recueilli des renseignements personnels sans consentement valide et n'offrait aux personnes aucun moyen réel de les corriger ou de les supprimer. Voici ce que cette décision sur ChatGPT change réellement pour une entreprise qui utilise l'IA.

Par Vivek Chakravarthy

Ce que la décision du CPVP sur ChatGPT signifie pour votre entreprise canadienne

Le 6 mai 2026, les autorités canadiennes de protection de la vie privée ont publié une conclusion que toute entreprise utilisant l'IA devrait lire. Le Commissariat fédéral à la protection de la vie privée, avec les autorités du Québec, de la Colombie-Britannique et de l'Alberta, a conclu qu'OpenAI a recueilli des renseignements personnels pour entraîner ChatGPT sans consentement valide, ne pouvait pas rendre compte clairement de ce qu'elle détenait sur les Canadiens, et n'offrait aucun moyen réel de corriger ou de supprimer ces données. La décision vise OpenAI. La leçon retombe sur nous tous.

Voici le point à méditer : les autorités n'ont pas dit que l'IA est illégale, ni que moissonner le Web est interdit par défaut. Elles ont dit que les règles ordinaires — consentement, finalité, accès, correction — s'appliquent toujours quand le produit est un modèle plutôt qu'une liste d'envoi. C'est toute l'histoire, et c'est plus utile à votre entreprise que le titre de journal.

Qu'ont réellement conclu les autorités ?

L'enquête conjointe s'est penchée sur la façon dont ChatGPT a été bâti et exploité au Canada, et trois problèmes sont ressortis.

  • Collecte sans consentement valide. OpenAI a moissonné d'énormes volumes de contenu Web — dont une bonne part contenait des renseignements personnels — pour entraîner ses modèles, sans mécanisme de consentement que le droit canadien reconnaîtrait. Les autorités ont rejeté l'idée que « accessible publiquement » signifie « libre de prendre ».
  • Un déficit de transparence. Quand des personnes demandaient ce que ChatGPT savait à leur sujet, OpenAI ne pouvait souvent pas donner de réponse claire et fiable. Si vous ne pouvez pas dire quels renseignements personnels vous détenez, vous ne pouvez pas vraiment les protéger ni répondre à une demande.
  • Aucun véritable chemin de correction ou de suppression. Les personnes n'avaient aucun moyen réel de corriger une information erronée qu'un modèle produisait à leur sujet, ni de faire retirer leurs données. En droit canadien, ce ne sont pas des courtoisies facultatives.

Rien de tout cela n'est exotique. Retirez le mot « IA » et vous avez un problème classique de consentement et d'accès. Les autorités ont simplement refusé de laisser la technologie servir d'excuse.

Cette décision s'applique-t-elle à une entreprise comme la mienne ?

Vous n'êtes pas OpenAI, donc la conclusion directe ne vous vise pas. Le raisonnement qui la sous-tend, lui, vous vise. Chaque fois que votre organisation recueille des renseignements personnels pour bâtir, entraîner, peaufiner ou alimenter un système d'IA, il vous faut un fondement juridique valide, et si vous vous appuyez sur le consentement, il doit être significatif — éclairé, précis, et non enfoui dans un mur de conditions que personne ne lit.

Deux situations touchent la plupart des entreprises canadiennes :

  1. Vous entraînez ou personnalisez un modèle avec vos propres données. Transcriptions de soutien, dossiers clients, notes de CRM. Si ces données contiennent des renseignements personnels — c'est presque toujours le cas — votre consentement d'origine doit réellement couvrir leur usage pour bâtir de l'IA. « Nous recueillons des données pour fournir notre service » ne s'étire habituellement pas jusque-là.
  2. Vous utilisez un outil tiers comme ChatGPT. Ici le risque s'inverse. Vous alimentez peut-être le système d'un autre en renseignements personnels chaque fois qu'un employé colle le courriel d'un client ou le CV d'un candidat dans une fenêtre de clavardage. Où vont ces données, servent-elles à un entraînement ultérieur, et pourrez-vous répondre plus tard à une demande d'accès à leur sujet ?

Cartographier ces flux est le travail ingrat qui vous garde hors d'ennui, et c'est le point de départ de toute véritable pratique de gouvernance de l'IA. Notre rapport État de la conformité en IA au Canada 2026 a révélé que la plupart des organisations ne peuvent pas énumérer avec assurance les outils d'IA que leur personnel utilise déjà — et on ne peut pas gouverner ce qu'on ne voit pas.

Puis-je encore utiliser ChatGPT après cela ?

Oui. Rien dans la conclusion n'interdit ChatGPT ni ses concurrents au Canada. Ce qu'elle fait, c'est relever la barre sur le soin avec lequel vous les utilisez. Quelques garde-fous concrets :

À faireÀ éviter
Utiliser les forfaits entreprise ou API aux conditions de traitement clairesColler des données de clients ou d'employés dans des outils grand public
Désactiver l'entraînement sur vos saisies là où l'option existePrésumer que vos requêtes sont privées par défaut
Rédiger une courte politique interne d'usage de l'IA que le personnel peut suivreLaisser chaque équipe choisir ses outils sans surveillance
Tenir une liste des outils d'IA qui touchent des renseignements personnelsTraiter « ce n'est qu'un robot conversationnel » comme une raison de sauter la révision

L'erreur que nous voyons le plus souvent n'est pas une entreprise qui agit imprudemment à dessein. C'est un employé bien intentionné qui dépose un tableur de coordonnées de clients dans un outil gratuit pour « le nettoyer vite fait », sans la moindre idée d'où ces données vivent désormais.

Que devriez-vous faire ce trimestre ?

Vous n'avez pas besoin d'un service de gouvernance pour bien réagir. Commencez ici :

  • Repérez l'IA déjà en usage. Posez la question autour de vous, vérifiez les dépenses, regardez les extensions de navigateur. L'IA fantôme — les outils adoptés sans approbation — est là où se cache l'essentiel de l'exposition.
  • Connaissez vos flux de données. Pour chaque outil d'IA qui touche des renseignements personnels, notez ce qui entre, où cela vit, et si cela alimente un entraînement ultérieur.
  • Corrigez le consentement et la finalité. Si vous entraînez sur des données clients, confirmez que votre avis de confidentialité et votre consentement les couvrent réellement. Sinon, mettez-les à jour correctement ou cessez d'utiliser ces données pour l'IA.
  • Donnez une porte d'entrée aux personnes. Assurez-vous que quelqu'un peut répondre à « que détenez-vous à mon sujet, et pouvez-vous le corriger ou le supprimer ? » — la question exacte sur laquelle OpenAI a trébuché.
  • Consignez le tout. Une fiche d'une page par système d'IA — objet, données, supervision — vaut mieux qu'un classeur que personne n'ouvre.

La vraie leçon

La conclusion sur OpenAI n'est pas un avertissement sur ChatGPT en particulier. C'est une déclaration nette des autorités canadiennes : l'IA n'a pas droit à son propre code de règles. Le consentement, la finalité, la transparence et le droit de corriger ou de supprimer — les mêmes principes qui régissaient une liste d'envoi en 2005 — régissent un modèle en 2026. Les entreprises qui intègrent cela dès maintenant trouveront la prochaine décision, et la suivante, bien moins alarmantes.

Le présent article constitue de l'information générale et non un avis juridique; l'application de ces règles dépend de vos systèmes, de vos données et du territoire où vous exercez.

Chez Canuckt, nous avons conçu Valdra pour rendre cela visible plutôt que théorique — un endroit où consigner quels systèmes d'IA votre entreprise utilise, quels renseignements personnels ils touchent, et comment le consentement et la supervision sont gérés, afin qu'une question d'une autorité ou d'un client trouve une vraie réponse qui l'attend.

Questions fréquentes

Qu'a conclu le CPVP au sujet de ChatGPT ?+

Dans une enquête conjointe publiée le 6 mai 2026, le commissaire fédéral à la protection de la vie privée et les autorités du Québec, de la Colombie-Britannique et de l'Alberta ont conclu qu'OpenAI a moissonné de grands volumes de renseignements personnels sur le Web pour entraîner ChatGPT sans consentement valide, ne pouvait pas expliquer de façon fiable ce qu'elle détenait sur les personnes, et n'offrait aucun moyen réel de corriger ou de supprimer ces données.

La décision sur ChatGPT s'applique-t-elle à mon entreprise ?+

La conclusion vise OpenAI, pas votre entreprise. Mais son raisonnement s'applique à tout le monde : si vous recueillez des renseignements personnels pour bâtir ou alimenter un système d'IA, il vous faut toujours un fondement juridique valide, et le consentement doit être significatif. Utiliser un outil entraîné de façon irrégulière peut aussi jeter un doute sur votre propre usage.

Puis-je encore utiliser ChatGPT pour mon entreprise après cette décision ?+

Oui. La conclusion n'interdit pas ChatGPT au Canada. Elle signifie que vous devriez faire attention aux renseignements personnels que vous y saisissez, vérifier les conditions de traitement des données du forfait entreprise ou de l'API que vous utilisez, et éviter de coller des renseignements sur des clients ou des employés dans des outils grand public sans fondement clair ni mesures de protection.

Quelle est la principale leçon de conformité de la décision sur OpenAI ?+

Le consentement et la finalité régissent toujours l'IA. Vous ne pouvez pas traiter « c'est pour entraîner l'IA » comme un laissez-passer pour recueillir ou réutiliser des renseignements personnels. Sachez quelles données alimentent vos modèles, pourquoi vous avez le droit de les utiliser, et comment une personne pourrait demander à les consulter, à les corriger ou à les faire retirer.

Le moissonnage de données publiques pour l'IA est-il légal au Canada ?+

Pas automatiquement. Les autorités canadiennes ont été claires : le fait qu'une information soit accessible publiquement en ligne ne la rend pas libre de collecte et de réutilisation. Un renseignement personnel demeure un renseignement personnel, et les règles de consentement et de finalité de la LPRPDE — de même que la Loi 25 du Québec — continuent de s'y appliquer.

OPC ChatGPT rulingOpenAI Canada privacyAI consent CanadaPIPEDA AILaw 25 AIAI governanceChatGPT compliance

Protégez vos données avant de les envoyer à l'IA.

Shielk supprime automatiquement les renseignements personnels de votre contenu — pour que votre équipe puisse utiliser les outils IA en toute sécurité.

Essayer Shielk gratuitement

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

Ce que la décision du CPVP sur ChatGPT signifie pour votre entreprise canadienne | Canuckt AI