3 min readSanitized AI Team

Le Canada vient de dire à OpenAI que ses pratiques en matière de données d'entraînement ont enfreint la loi sur la protection de la vie privée. Voici ce que cela signifie pour chaque organisation utilisant l'IA.

Vie privéeConformitéGouvernance de l'IA

Hier, les régulateurs canadiens de la vie privée ont officialisé la nouvelle : les pratiques initiales d'entraînement de ChatGPT d'OpenAI ont violé les lois fédérales et provinciales sur la protection de la vie privée. L'enquête conjointe — impliquant le Commissariat à la protection de la vie privée du Canada (OPC), la Commission d'accès à l'information du Québec (CAI) et les commissaires à la protection de la vie privée de la Colombie-Britannique et de l'Alberta — a révélé une collecte excessive de renseignements personnels, un manque de consentement valide, une transparence insuffisante et l'absence de cadre de responsabilisation avant le lancement.

Depuis, OpenAI a retiré ces anciens modèles et s'est engagé à mettre en place de nouvelles mesures de protection. Les régulateurs ont qualifié la plainte de résolue sous condition au niveau fédéral.

La plupart des reportages se concentreront sur ce qu'OpenAI a mal fait. Nous voulons parler de ce que cela signifie pour votre organisation.

La conclusion qui devrait empêcher votre RSSI de dormir la nuit

Les régulateurs n'ont pas seulement reproché à OpenAI d'avoir collecté des données publiques. Ils ont souligné qu'OpenAI avait recueilli des renseignements personnels — y compris des détails sensibles comme l'état de santé et les opinions politiques — sans mesures de protection adéquates, et avait lancé le produit sans traiter pleinement les risques connus en matière de vie privée.

Maintenant, posez-vous la question : que fait votre personnel en ce moment avec les outils qu'OpenAI a créés ?

79 % des employés de bureau canadiens utilisent l'IA au travail. Seulement 25 % utilisent des outils approuvés par l'entreprise. Les autres utilisent tout ce qui les aide à respecter une échéance — ChatGPT, Gemini, Grok, Perplexity — totalement en dehors de votre visibilité. Et selon les recherches de Kiteworks, 93 % des employés saisissent des données de l'entreprise dans des outils d'IA. Cela inclut des dossiers clients, des notes cliniques, des données financières et du code source.

L'enquête de l'OPC s'est concentrée sur la façon dont OpenAI a traité les données pour entraîner ses modèles. Mais le risque d'exposition pour votre organisation ne concerne pas seulement la chaîne d'entraînement d'OpenAI. Il s'agit de ce que vos employés soumettent en ce moment même, aujourd'hui, via des prompts d'IA — et de savoir si ces données sont réglementées, sensibles ou tout simplement ne regardent pas OpenAI.

Le problème du consentement ne s'arrête pas à OpenAI

La décision canadienne met en évidence une lacune critique : le consentement ne concerne pas seulement les conditions de service que vous signez ; il concerne le flux de données que vous contrôlez. Si vos employés alimentent des systèmes d'IA tiers avec des informations sensibles sans supervision organisationnelle explicite, vous êtes déjà en état de non-conformité.

La solution n'est pas d'interdire l'IA, mais de sécuriser l'interaction. En supprimant les identifiants sensibles et les renseignements personnels (PII) au point d'entrée, les organisations peuvent tirer parti de la puissance des LLM tout en garantissant que leurs données d'entraînement — et leurs prompts actifs — n'enfreignent jamais la loi.

See how Sanitized AI stops sensitive data from leaving the prompt box.