Le développement des systèmes d’IA repose sur des volumes massifs de données, souvent à caractère personnel, créant des tensions avec les principes de protection de la vie privée, passant par le consentement, la minimisation de la collecte ou encore la transparence.
La vie privée se définit comme un ensemble de phénomènes personnels, tant sur le plan physique que mental. Cette vie privée se rattache au droit au respect de la vie privé définit comme un droit fondamental d’une personne à l’absence d’intrusion dans la sphère de sa vie. Ce droit au respect de la vie privée inclut la protection des renseignements personnels.
La Commission d’accès à l’information du Québec (CAI) définit un renseignement personnel comme un renseignement propre à une personne physique, permettant de l’identifier directement ou indirectement. Effectivement, cela peut correspondre à un nom, une adresse, un numéro de téléphone ou encore des empreintes digitales. Dans l’Union européenne, le Règlement général sur la protection des données (RGPD) définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». La violation de ces données à caractère personnel signifie une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données.
Les systèmes d’IA fonctionnent souvent comme des « boîtes noires » ou « black box », c’est-à-dire un système fermé « dont on ignore le fonctionnement interne, qui n’est connu que par son comportement extérieur en fonction des sollicitations qui lui sont appliquées ». Cette opacité rend difficile la traçabilité de l’origine des données, ce qui peut soulever des questions relatives au consentement et à la finalité du traitement. Ces problèmes peuvent engendrer des risques pour les individus comme l’utilisation de leurs données sans leur consentement. Selon la CAI, pour être valide, le consentement d’une personne doit être manifeste, libre, éclairé, spécifique, temporaire, granulaire (demandé pour chaque fin spécifique), compréhensible et distinct.
L’usage de l’IA générative peut également engendrer pour les utilisateurs des risques de discrimination, de profilage ou d’usage détourné (deepfakes, images intimes non consensuelles, …) mais aussi des risques d’ « hallucinations » et de données inexactes pouvant nuire à la réputation. Finalement, les utilisateurs peuvent parfois rencontrer des difficultés dans l’exercice de leurs droits d’accès, de correction et de suppression. La question principale est de savoir s’il est possible de concilier innovation technologique et respect effectif du consentement.
Cas d’actualité : OpenAI au Canada
OpenAI a récemment fait l’objet d’une enquête par le Commissariat à la protection de la vie privée du Canada (CPVP). Effectivement, le CPVP, en collaboration avec la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, a mené une enquête conjointe pour évaluer ChatGPT d’OpenAI. Le service d’OpenAI était suspecté de ne pas avoir respecté les lois fédérales et provinciales sur la protection des renseignements personnels dans la « collecte, l’utilisation et la communication des renseignements personnels des Canadiennes et des Canadiens ».
OpenAI est une société exerçant des activités de recherche et de développement dans le domaine de l’intelligence artificielle (IA). Elle a lancé, en 2022, ChatGPT, un service permettant d’avoir une conversation et de créer du contenu, et fonctionnant grâce à un LLM (Large Language Model). L’enquête s’est penchée notamment sur l’entraînement et le développement des modèles GPT-3.5 et GPT-4.
L’enquête a mis en évidence que l’entraînement de ChatGPT par OpenAI n’était pas conforme aux lois fédérales et provinciales sur la protection des renseignements personnels. Elle a également conduit à la conclusion qu’OpenAI avait procédé à une collecte excessive de renseignements personnels sans mettre en place une protection adéquate pour empêcher l’utilisation de ces renseignements dans le cadre de l’entraînement de ses modèles. De plus, la société n’a pas obtenu de consentement pour la collecte des renseignements personnels. La transparence, quant à la collecte, à l’utilisation et à la communication des renseignements personnels, a été questionnée par les organisations.
La société n’a pas non plus averti les utilisateurs des éventuelles inexactitudes ou « hallucinations » contenues dans les réponses de ChatGPT. OpenAI n’a pas permis aux individus concernés d’avoir un accès facile et accessible à leurs renseignements personnels pour les corriger ou les supprimer. Finalement, le respect des obligations d’OpenAI en matière de responsabilité face aux renseignements personnels pose question. Ce manque de responsabilité a pu exposer les individus à des atteintes à leur vie privée, à des inexactitudes dans les renseignements et à de la discrimination.
OpenAI a pris des dispositions pour éviter une sanction des organismes, en améliorant la protection des renseignements personnels dans le cadre du développement et du déploiement de ChatGPT. De nouvelles mesures de protection ont été adoptées, notamment la limitation de l’utilisation des renseignements personnels. Effectivement, un outil de filtrage a été déployé afin de détecter et de masquer les renseignements personnels dans les données accessibles au public. OpenAI a également lancé une nouvelle fonctionnalité améliorant l’exactitude des contenus de ChatGPT grâce à la recherche sur le Web. L’accès des utilisateurs à leurs renseignements personnels a aussi été renforcé, tout comme les mécanismes de correction et de suppression des renseignements, dans le but de veiller au respect du droit à la vie privée. Finalement, des politiques de conservation ont été instaurées pour encadrer les renseignements personnels traités en lien avec ChatGPT.
A côté de ces actions, la société a annoncé qu’elle mettrait en œuvre, dans les mois à venir, des mesures visant à l’amélioration de la transparence et de la protection de la vie privée. Grâce à ces engagements pour répondre aux préoccupations soulevées durant l’enquête, la plainte des organisations a été considérée « fondée et conditionnellement résolue ».
OpenAI a également fait l’objet de questionnements en Europe concernant la violation du RGPD, une action majeure et quasiment unique contre un fournisseur d’IA générative. Effectivement, l’Autorité italienne indépendante, chargée de veiller au respect de la législation sur la vie privée et la protection des données personnelles, avait prononcé, en décembre 2024, 15 millions d’euros d’amende contre OpenAI pour la non-conformité au RGPD de ChatGPT. L’Autorité a constaté des violations concernant l’absence de notification de fuites de données, l’absence de base légale justifiant le traitement des données personnelles, le manque de transparence, l’absence de contrôle de l’âge des utilisateurs et finalement, la production d’ « hallucinations ». La société OpenAI a ensuite fait appel de cette décision, la considérant disproportionnée. En mars 2026, un tribunal de Rome a rendu un jugement en sa faveur, en annulant l’amende de 15 millions d’euros. Cependant, la société a été contrainte de mener une campagne médiatique sur l’entraînement des modèles d’IA, sanction que l’Autorité italienne de la protection des données avait également imposée.
Les chatbots et la vie privée
Les préoccupations liées à la protection de vie privée ne se limitent pas aux controverses visant OpenAI ou, comme nous le verrons, par la suite l’IA Grok d’xAI. Un rapport publié en 2025 par la firme privée Incogni propose une analyse comparative des principaux logiciels d’apprentissage automatique par rapport à des critères liés aux risques en matière de confidentialité. Cette étude permet de mettre en évidence des tendances quant aux pratiques des plateformes les plus utilisées.
Selon le classement de Incogni, certains systèmes d’IA apparaissent moins intrusifs en matière de confidentialité. C’est le cas de ChatGPT, Grok ou Le Chat de Mistral AI. Cependant, d’autres systèmes sont plutôt intrusifs en matière de vie privée, notamment Gemini, Meta AI, Copilot et DeepSeek. Pour certains systèmes, les utilisateurs ont la capacité de refuser que leurs requêtes (prompts) soient utilisées pour l’entraînement des modèles. Toutefois, cette option n’est pas offerte par tous les services : elle est absente chez DeepSeek, Pi AI, Meta AI et Gemini.
Concernant l’entraînement des modèles d’IA par les plateformes, les informations de ce processus peuvent parfois être difficiles d’accès. C’est le cas pour Copilot, Meta AI, DeepSeek, Gemini et Pi AI. La transparence constitue pourtant une condition essentielle pour permettre aux utilisateurs de comprendre l’usage fait de leurs données et d’exercer réellement leurs droits.
Le rapport met en lumière des pratiques de collecte et de partage de données parfois larges pour les entités. Certaines plateformes, comme Anthropic, Meta et DeepSeek, partageraient des données avec des entités non essentielles, c’est-à-dire des acteurs qui « ne contribuent pas à la prestation du service ».
La question des risques de confidentialité est également soulevée par l’étude. Meta apparaît comme l’un des exemples les plus sensibles, car elle collecterait la quasi-totalité des données décrites et en partagerait un nombre important avec des tiers. En plus de cela, Meta AI a récemment mis en place l’utilisation des données des plateformes Instagram et Facebook pour entrainer ses modèles d’IA. D’autres cas soulèvent des inquiétudes, comme Gemini et Meta AI, qui collecteraient des données de localisation et des adresses, ou encore Gemini, Pi AI et DeepSeek, qui collecteraient des numéros de téléphone.
Finalement, sans constituer une évaluation officielle du respect du droit applicable, l’étude montre qu’il existe une difficulté générale des plateformes à concilier performance technologique, monétisation des données et respect de la vie privée. Les risques d’atteintes à la confidentialité ou à la vie privé ne concernent pas un acteur isolé, mais plutôt l’ensemble des IA génératives. Malgré le fait que Grok d’xAI soit plutôt bien noté concernant la vie privée par le classement d’Incogni, cette IA a tout de même fait l’objet d’un contrôle accru de la part des autorités de la protection des données.
Le système Grok d’xAI fait l’objet d’une enquête par le Commissaire à la protection de la vie privée du Canada, depuis février 2025. L’enquête porte sur la conformité de la plateforme à la loi fédérale sur la protection des renseignements personnels concernant la collecte, l’utilisation et la communication des renseignements personnels de Canadiennes et de Canadiens pour entraîner des modèles d’IA. En janvier 2026, l’enquête a été élargie pour établir si xAI a bien obtenu le consentement valide des individus concernés pour la collecte, l’utilisation et la communication de leurs renseignements personnels pour la création d’hypertrucages, y compris du contenu explicite, au moyen de Grok. Ces inquiétudes font suite à plusieurs signalements selon lesquels Grok aurait servi à produire des images à caractère sexuel représentant des individus, y compris des mineurs.
En ce sens, le bureau du commissaire à l’information (ICO) du Royaume-Uni, a également ouvert une enquête concernant le traitement des données personnelles de la plateforme X et son IA générative Grok. L’ICO va évaluer la licéité, la loyauté et la transparence du traitement des données. L’enquête porte également sur les mesures de protection des données personnelles prises lors de la conception et du déploiement de Grok et sur le respect des obligations de traitement à haut risque.
Ces cas reflètent l’état actuel des fournisseurs d’IA génératives cherchant à harmoniser l’exploitation massive des données nécessaires à l’entraînement de leurs modèles avec les exigences juridiques et éthiques en matière de protection de la vie privée.
Les législateurs face à la protection de la vie privée et des renseignements personnels
Plusieurs autorités de protection des données personnelles du monde se sont accordées sur la protection de la vie privée notamment concernant les images générées par IA, cela s’étant matérialisé par une déclaration conjointe publiée le 23 février 2026. Cette déclaration a été signée par 61 autorités dont la Commission d’accès à l’information du Québec, la Commission Nationale de l’Informatique et des Libertés de France, l’Autorité italienne de protection des données, l’Unité de protection des données du Mexique ou encore la Commission nigériane de protection des données.
Les différentes juridictions avertissent les développeurs d’IA générative du respect des cadres juridiques et notamment des règles de protection des données personnelles et de confidentialité. La déclaration rappelle l’interdiction de la création ou la diffusion de contenus reproduisant des personnes identifiables sans leur consentement. Pour cela, il est nécessaire pour les organisations de développement d’intégrer la protection des données dès la conception et tout au long de l’utilisation. Les systèmes d’IA doivent empêcher toute génération d’images intimes non consensuelles, de contenus diffamatoires ou de contenus nuisibles visant des individus. Les autorités ajoutent qu’il est nécessaire de développer un mécanisme pour recevoir les demandes de retrait et y répondre dans les plus brefs délais, afin d’éviter la diffusion du contenu nuisible.
En Europe, le Règlement général sur la protection des données (RGPD) encadre le traitement de données personnelles notamment lorsqu’il s’agit d’IA à haut risque. De plus, le RGPD admet que certaines données personnelles nécessitent un consentement explicite. C’est le cas des données relatives à la santé ou les données biométriques. L’article 5 du RGPD dispose qu’un système d’IA ne doit pas collecter plus de données qu’il n’en a besoin pour sa finalité, que ces données doivent être traitées de manière licite, loyale et transparente et doivent être adéquates, pertinentes et exactes. Finalement, il est nécessaire de laisser la possibilité aux individus de supprimer leurs données à caractère personnel. Toujours en Europe, en 2024, le Règlement sur l’Intelligence artificielle est venu classer les différents systèmes d’IA selon leur niveau de risque. Le règlement sur l’IA vient renforcer le cadre du RGPD, notamment en ce qui concerne la qualité des données récoltées pour l’entraînement des systèmes à haut risques.
Au Canada, c’est la Loi sur la protection des renseignements personnels et les documents électroniques qui permet l’encadrement de la collecte, de l’utilisation et de la communication des renseignements personnels pour des activités commerciales. Les lois provinciales sur la protection des renseignements personnels, de l’Alberta, de la Colombie-Britannique et du Québec, sont plutôt similaires. Il n’est pas possible pour les développeurs de systèmes d’IA de traiter librement les données personnelles des Canadiennes et des Canadiens. Les principes de la loi reposent sur le consentement, la limitation de la collecte, de l’utilisation, de la communication et de la conservation, l’exactitude des données ou encore la transparence. En 2023, les autorités de protection de la vie privée du Canada ont publié des principes de développement et d’utilisation responsables de l’IA générative. Les organismes de développement d’IA générative doivent s’assurer de disposer d’une base légale pour recueillir et utiliser les renseignements personnels. De même, la collecte, l’utilisation et la communication de renseignements personnels doivent être uniquement pour des fins appropriées et faire preuve de transparence. Les renseignements personnels se trouvant dans un système d’IA générative doivent être nécessaire et leur utilisation proportionnelle. Les organisations, dans la conception de systèmes d’IA, doivent donc mettre en place des mesures de protection des renseignements personnels et atténuer les risques pour la vie privée.
Les entreprises de systèmes d’IA sont également encadrées au moyen d’un Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés, datant de 2023. Cependant, un projet de loi plus contraignant, le projet de loi C-27, devait instaurer une législation spécifique sur l’IA et les données. Ce projet a été abandonné en 2025. En l’absence de cadre légal dédié spécifiquement à l’IA, le Canada continue de s’appuyer sur des textes plus anciens. La protection des données peut alors devenir difficile dans ce contexte.
Cette situation s’accompagne d’un défi supplémentaire : le Cloud Act ou Clarifying Lawful Overseas Use of Data Act adopté aux États-Unis en 2018. Ce texte autorise les autorités américaines à exiger des entreprises américaines la production de données personnelles stockées à l’étranger, y compris au Canada. Le Cloud Act peut alors entrer en tension avec les lois canadiennes sur la protection des renseignements personnels, qui exigent le consentement, la limitation de la collecte et la maîtrise du transfert des données vers l’étranger. Tant que le législateur canadien n’aura pas adopté une législation spécifique aux IA et renforcé les règles encadrant les transferts nationaux de données, les citoyens pourraient se trouver dans une situation où la protection effective de leurs données personnelles reste incertaine, en particulier face aux acteurs majeurs de l’IA basés aux États-Unis.
Un cadre juridique en décalage avec la réalité technologique
Le développement de l’IA transforme profondément les rapports entre innovation technologique et protection des données personnelles et de la vie privée. Les affaires OpenAI et Grok montrent que même les organismes influents du secteur ne peuvent totalement se soustraire aux exigences juridiques des différents pays. Toutefois, il est nécessaire de nuancer. Effectivement, si les autorités canadiennes ont considéré la plainte contre OpenAI comme « fondée et conditionnellement résolue », la société n’a en réalité fait l’objet d’aucune sanction concrète au Canada, malgré la non-conformité établie. Cela relève d’une préoccupation actuelle, la capacité des géants de l’IA à éviter des sanctions significatives alors que des atteintes à la vie privée ont été commises.
Les états et les commissions, en dénonçant les pratiques des fournisseurs d’IA, agissent après la violation. Les données personnelles ont déjà été collectées, utilisées pour l’entraînement des modèles sans consentement valide. Par exemple, les images intimes non consensuelles générées par le chatbot Grok constituent des préjudices persistant même après la mise en place de mesures correctives.
La protection de la vie privée devient un enjeu majeur de la préservation des droits fondamentaux à l’ère du numérique. Les cadres juridiques actuels ont du mal à s’adapter au rythme accéléré du développement des systèmes d’IA. Les régulateurs agissent souvent après coup, c’est pourquoi les utilisateurs doivent être pleinement informés et sensibilisés à ces atteintes potentielles.
Finalement l’encadrement juridique doit continuer d’évoluer en même temps que le développement des systèmes d’IA, avec des mécanismes de contrôle préventif et des sanctions dissuasives réellement appliquées.
Ce contenu a été mis à jour le 17 juin 2026 à 10 h 00 min.