Rapport CAI–OpenAI du 6 mai 2026 : quatre recommandations à OpenAI, et pourquoi vous n'avez pas à attendre.
Ce que la Commission d'accès à l'information a écrit, ce qu'elle n'a pas encore écrit, et pourquoi l'architecture tonia rend ces recommandations sans objet de conception.
tonia n'est pas un accès libre. Chaque requête est classée avec tonia sur site, rédigée selon votre politique, ou refusée lorsque la politique ne l'autorise pas. La décision et le contenu rédigé sont consignés localement avant toute sortie.
Le 6 mai 2026, la CAI a rendu public le rapport de son enquête conjointe sur OpenAI et ChatGPT. Le constat est inhabituellement direct : la manière dont OpenAI a d'abord entraîné et déployé ChatGPT n'est pas conforme aux lois fédérales et provinciales sur la protection des renseignements personnels.
Le rapport est adressé à OpenAI. Mais en droit canadien, le responsable des renseignements personnels que vos employés collent dans ChatGPT, ce n'est pas OpenAI — c'est votre organisation. Lorsque la CAI publie qu'un fournisseur n'a pas pleinement respecté ses obligations, ce rapport devient une pièce à votre dossier.
OpenAI est le premier — pas le dernier.
Le rapport vise OpenAI aujourd'hui. Il pourrait viser, demain, Anthropic, Microsoft Copilot, Google Gemini, AWS Bedrock ou l'API hébergée de Mistral. La grille appliquée par la CAI — collecte excessive, validité du consentement, transparence, exactitude, conservation, responsabilité — vaut pour tout fournisseur infonuagique américain qui traite vos données. Changer de fournisseur ne change pas l'analyse Loi 25 ; cela déplace seulement l'ordre des prochaines enquêtes.
Les quatre recommandations de la CAI à OpenAI
- R1 — Lors de la collecte, mettre en place des mesures raisonnables pour respecter l'obligation d'information auprès des personnes concernées ou obtenir leur consentement, le cas échéant.
- R2 — Informer en temps utile les utilisateurs de la version Web gratuite que leur clavardage pourrait être examiné et utilisé aux fins d'entraînement du modèle.
- R3 — Modifier les paramètres de confidentialité afin que, par défaut, le clavardage ne soit pas utilisé aux fins d'entraînement des modèles.
- R4 — Lorsque des renseignements personnels sont conservés aux fins de référence historique, en informer les utilisateurs ou, à défaut, procéder à leur destruction ou à leur anonymisation.
Ces quatre recommandations ciblent une architecture que tonia ne reproduit pas : collecte chez un fournisseur américain, entraînement activé par défaut, conservation gérée par le fournisseur. Avec tonia sur site et tonia par adhésion volontaire, vous ne dépendez plus du calendrier d'OpenAI — vous prenez la décision vous-même.