Se connecter S'abonner
By Reservoir Live

ChatGPT dans le viseur des lois canadiennes sur la vie privée

ChatGPT dans le viseur des lois canadiennes sur la vie privée

Quand l'intelligence artificielle rencontre le droit canadien : une collision inévitable

Imaginez que vos données personnelles — votre nom, vos habitudes en ligne, peut-être même des extraits de vos conversations — aient servi à entraîner un modèle d'intelligence artificielle sans que vous ne le sachiez. Ce scénario n'est pas de la science-fiction. C'est précisément ce qu'ont examiné les autorités canadiennes de protection de la vie privée lorsqu'elles ont ouvert une enquête historique sur OpenAI, la société créatrice de ChatGPT. Une affaire qui transforme ce chatbot mondialement célèbre en véritable cas d'école juridique.

Le Canada, précurseur discret de la régulation de l'IA

Pendant que l'Europe faisait les manchettes avec son AI Act et que les États-Unis débattaient encore de leur approche, le Canada agissait discrètement mais fermement. En 2023, le Commissariat à la protection de la vie privée du Canada (CPVP), conjointement avec plusieurs homologues provinciaux, a lancé une enquête formelle contre OpenAI pour collecte, utilisation et divulgation de renseignements personnels sans consentement valable.

Le fondement juridique de cette démarche repose sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), en vigueur depuis 2001. Une loi que peu de gens connaissent, mais qui impose des obligations strictes à toute organisation commerciale qui collecte des données de Canadiens.

Ce que dit exactement la loi

  • Le consentement explicite : toute collecte de données personnelles doit être accompagnée d'un consentement éclairé de l'individu concerné.
  • La finalité déterminée : les données ne peuvent être utilisées qu'aux fins précises pour lesquelles elles ont été collectées.
  • Le droit d'accès et de correction : chaque personne peut demander à consulter ses données et exiger leur rectification.
  • La responsabilité organisationnelle : l'entreprise doit démontrer qu'elle protège activement les données en sa possession.

Or, les modèles de langage comme ChatGPT sont entraînés sur des milliards de données aspirées depuis internet — forums, articles, réseaux sociaux, sites web — sans que les auteurs de ces contenus n'aient jamais donné leur accord explicite.

Le cœur du problème : le consentement à l'ère du web scraping

La question centrale que pose cette affaire est à la fois simple et vertigineuse : quand vous publiez quelque chose en ligne, consentez-vous implicitement à ce que cette information serve à former une intelligence artificielle ?

OpenAI, comme d'autres acteurs du secteur, s'est longtemps appuyé sur la notion d'«intérêt légitime» et sur le caractère public des données collectées pour justifier ses pratiques. Mais les autorités canadiennes ont contesté cette interprétation. Pour elles, le caractère public d'une donnée ne signifie pas que son utilisation est illimitée. Une photo postée sur un réseau social pour vos proches n'est pas une autorisation de l'intégrer dans un corpus d'entraînement commercial.

L'enquête : ce qu'elle a révélé

L'enquête canadienne a mis en lumière plusieurs manquements potentiels :

  • L'absence de mécanisme permettant aux Canadiens de refuser la collecte de leurs données avant l'entraînement du modèle.
  • Des politiques de confidentialité jugées insuffisamment claires quant à l'utilisation des données à des fins d'entraînement.
  • La difficulté, voire l'impossibilité pratique, de supprimer des données personnelles une fois intégrées dans un modèle entraîné.

Ce dernier point est particulièrement épineux sur le plan technique. Comment «oublier» une information quand elle est dissoute dans des milliards de paramètres d'un réseau de neurones ? Le droit à l'effacement, consacré par de nombreuses législations, se heurte ici à une réalité technologique sans précédent.

Les implications concrètes pour les entreprises et les individus

Pour les entreprises canadiennes qui utilisent des outils d'IA générative dans leurs opérations — rédaction automatisée, service client, analyse de données —, cette affaire est un signal d'alarme. Utiliser ChatGPT en intégrant des données clients sans vérifier la conformité aux lois provinciales et fédérales peut engager leur responsabilité.

Pour les individus, c'est une prise de conscience nécessaire. Vos données ont de la valeur. Le fait qu'elles soient «publiques» ne les rend pas disponibles à toutes fins commerciales. Des recours existent, et les commissariats provinciaux sont accessibles pour déposer des plaintes.

À l'horizon, le projet de loi C-27 — qui proposerait de moderniser la LPRPDE avec la Loi sur la protection de la vie privée des consommateurs (LPVPC) — prévoit des amendes pouvant atteindre 5 % du chiffre d'affaires mondial d'une entreprise. Un levier dissuasif considérable.

Conclusion : le droit rattrape la machine

L'affaire OpenAI au Canada illustre une vérité fondamentale de notre époque : la vitesse de l'innovation technologique a largement devancé celle du cadre juridique. Mais ce retard se comble. Les régulateurs canadiens ont montré qu'ils n'avaient pas l'intention de laisser les géants de la tech définir eux-mêmes les règles du jeu.

ChatGPT n'est pas seulement un outil de productivité ou un assistant virtuel fascinant. Il est désormais le miroir dans lequel le droit examine ses propres limites — et décide de les redessiner. Pour quiconque travaille avec des données, développe des solutions numériques ou simplement navigue sur internet, comprendre ces enjeux n'est plus une option. C'est une nécessité.

Reservoir Live

S'abonner à Reservoir Live

Ne manquez aucune édition. Inscrivez-vous pour accéder à l'ensemble des éditions réservées aux abonnés.
jean.martin@exemple.com
S'abonner