Notes from the IAPP Canada: Following Symposium 2026, regulators say ChatGPT training violated privacy laws

There's so much to write about this week because, at the front of the week, we held the IAPP Canada Symposium 2026. On Tuesday, the British Columbia and Ontario Commissioners issued a joint statement on privacy and security around the FIFA World Cup. And on Wednesday, the private-sector privacy regulators released the long-awaited report into the investigation of how Open AI trained and created the first versions of ChatGPT.

Let's start with the conference, although I'm not sure where to start because there were so many great moments. The energy throughout was as though everyone at the venue was a Jedi — perhaps coinciding with Star Wars Day contributed to that. More than 1,000 people filled the keynote ballroom and no one left disappointed. There were too many great insights and learning opportunities to list them all here but let me at least mention that former CBC News chief correspondent Peter Mansbridge's talk gave patriotic goosebumps to almost everyone there — even the non-Canadians.

The Privacy Soirée was in a beautiful outdoor garden with a small waterfall and, as luck would have it, the weather was just about perfect. The reception followed what was, for me, my favorite session — the Commissioners' Gameshow. Lots of laughs, some surprises and some substantive commentary sprinkled throughout. Who knew British Columbia's Information and Privacy Commissioner Michael Harvey could draw "consent?" And who would've thought that the ever-witty Rogers Communications Chief Privacy Officer Deborah Evans, CIPP/C, who tried to use intimidation tactics backstage to earn an advantage, draws like a kid in kindergarten.

Everyone I spoke to as things were wrapping up was unanimous about two things: it was the best Symposium yet — which we conclude every year — and they are definitely coming back next year, for another great mix of the practical, the insightful and the inspirational. To anyone who wasn't able to join us, I hope things are different for you next year and that, you too, can be part of something truly special.

Okay, the substantive and front-page news this week was the release of the privacy regulators' investigation report into OpenAI. Here's the briefest of summaries, but I highly encourage everyone to read it more closely because, this being one of the first investigations into AI technology in Canada, it is setting the stage for expectations that are surely going to be consistently re-enforced over the next few years as this technology rapidly evolves.

Over collection of personal data. OpenAI was found to have scraped "vast amounts" of personal information — potentially including sensitive data like health details, political opinions and information about minors — far beyond what was necessary and without proper safeguards.

Lack of valid consent and transparency. The regulators determined neither OpenAI nor its training practices provided sufficient notice or obtained meaningful consent from individuals whose public content was used. Users and individuals whose data appeared in training sets were largely unaware their information was being repurposed.

Inaccurate content and "hallucinations." The models frequently generated personal information that was inaccurate, the report said, yet OpenAI did not have processes to validate or flag these inaccuracies. Users were not being warned about potential factual errors.

Inadequate user control mechanisms. The investigation found there was no easy way for individuals to access, correct or delete their personal information used in training. OpenAI failed to offer effective data subject rights management in line with Canadian privacy laws.

Poor retention and disposal protocols. Findings showed OpenAI had not adequately defined how long personal data could be retained, nor ensured secure disposal once it was no longer needed — raising accountability concerns.

Accountability and governance failures. The development and launch of ChatGPT proceeded without embedding privacy-by-design principles or a mature governance framework, resulting in insufficient oversight over data practices, regulators found.

Regulatory breach under multiple laws. The investigation found ChatGPT's GPT 3.5 and GPT 4 models violated Canada's federal Personal Information Protection and Electronic Documents Act and provincial privacy laws in Quebec, British Columbia and Alberta.

Remedial actions by OpenAI. Since the preliminary findings, OpenAI has taken some corrective steps: retired noncompliant models; introduced filters to identify and mask personal or sensitive data in training sources; and committed to clearer notices regarding training practices, improved data export tools, accuracy-challenge mechanisms and better protective measures for minors.

Notes de l'IAPP Canada : À la suite du Symposium 2026, les organismes de réglementation affirment que la formation ChatGPT a violé les lois sur la vie privée

Il y a tellement de choses à écrire cette semaine. En tout début de semaine, nous avons tenu l’IAPP Canada Symposium. Le lundi, les commissaires de l’Ontario et de la Colombie-Britannique ont publié une déclaration conjointe sur la protection de la vie privée et la sécurité entourant la Coupe du monde de la FIFA. Et le mercredi, les organismes de réglementation de la protection des renseignements personnels dans le secteur privé ont publié le rapport tant attendu de leur enquête sur la façon dont OpenAI a entraîné et créé les premières versions de ChatGPT.

Commençons par la conférence, même si je ne sais pas trop par où commencer, tellement il y a eu de grands moments. L’énergie sur place donnait l’impression que tout le monde dans la salle était un Jedi — le fait que ce soit la Journée Star Wars y était peut-être pour quelque chose. Plus de 1 000 personnes ont rempli la salle de bal pour la présentation principale, et personne n’est reparti déçu. Il y a eu trop d’idées fortes et d’occasions d’apprentissage pour toutes les nommer ici, mais je tiens au moins à dire que l’allocution de Peter Mansbridge a donné des frissons de fierté patriotique à presque tout le monde dans la salle — même aux personnes qui n’étaient pas canadiennes!

La Soirée se tenait dans un magnifique jardin extérieur, avec une petite chute d’eau, et, par chance, la météo était presque parfaite. La réception suivait ce qui a été, pour moi, ma séance préférée : le jeu-questionnaire des commissaires. Beaucoup de rires, quelques surprises et des commentaires de fond bien sentis tout au long de la séance. Qui aurait cru que Michael Harvey, commissaire en Colombie-Britannique, pouvait dessiner le « consentement »? Et qui aurait pensé que Deborah Evans, toujours aussi vive d’esprit, chef de la protection des renseignements personnels chez Rogers, qui a tenté d’utiliser des tactiques d’intimidation en coulisses pour prendre l’avantage, dessinait comme un enfant à la maternelle!

Toutes les personnes à qui j’ai parlé au moment de conclure étaient unanimes sur deux points : c’était le meilleur Symposium à ce jour — ce que nous disons chaque année — et elles reviendront assurément l’an prochain, pour un autre excellent mélange de contenu pratique, éclairant et inspirant. À celles et ceux qui n’ont pas pu se joindre à nous, j’espère que les choses seront différentes l’an prochain et que vous pourrez, vous aussi, faire partie de quelque chose de vraiment spécial.

Cela dit, la grande nouvelle de fond cette semaine, celle qui a fait les manchettes, est la publication du rapport d’enquête des organismes de réglementation de la protection des renseignements personnels sur OpenAI. En voici le plus bref résumé possible, mais j’encourage vivement tout le monde à le lire de plus près. Comme il s’agit de l’une des premières enquêtes au Canada sur une technologie d’IA, ce rapport établit des attentes qui seront certainement réaffirmées de façon constante au cours des prochaines années, à mesure que cette technologie évoluera rapidement.

• Collecte excessive de renseignements personnels

OpenAI a procédé à l’extraction de « vastes quantités » de renseignements personnels, pouvant comprendre des renseignements sensibles comme des renseignements sur la santé, des opinions politiques et des renseignements concernant des personnes mineures, dans une mesure qui allait bien au-delà de ce qui était nécessaire et sans mesures de protection adéquates.

• Absence de consentement valide et de transparence

Ni OpenAI ni ses pratiques d’entraînement ne fournissaient un avis suffisant ou n’obtenaient un consentement valable des personnes dont le contenu public a été utilisé. Les utilisateurs et les personnes dont les renseignements se retrouvaient dans les jeux de données d’entraînement ignoraient largement que leurs renseignements étaient réutilisés à cette fin.

• Contenu inexact et « hallucinations »

Les modèles généraient fréquemment des renseignements personnels inexacts, mais OpenAI n’avait pas de processus pour valider ces renseignements ou signaler ces inexactitudes. Les utilisateurs n’étaient pas suffisamment avertis du risque d’erreurs factuelles.

• Mécanismes insuffisants de contrôle par les utilisateurs

Il n’existait pas de moyen simple pour les personnes d’accéder aux renseignements personnels utilisés aux fins d’entraînement, ni de les corriger ou de les supprimer. OpenAI n’offrait pas de mécanismes efficaces pour gérer les demandes d’accès, de correction ou de retrait des personnes, comme l’exigent les lois canadiennes sur la protection des renseignements personnels.

• Protocoles insuffisants de conservation et de destruction

OpenAI n’avait pas défini adéquatement la durée pendant laquelle les renseignements personnels pouvaient être conservés, ni assuré leur destruction sécuritaire lorsqu’ils n’étaient plus nécessaires, ce qui soulevait des préoccupations en matière de responsabilité.

• Lacunes en matière de responsabilité et de gouvernance

Le développement et le lancement de ChatGPT se sont faits sans intégrer les principes de protection de la vie privée dès la conception et sans cadre de gouvernance suffisamment mature. Il en a résulté une surveillance insuffisante des pratiques liées aux données.

• Manquements à plusieurs lois

L’enquête a conclu que les modèles GPT-3.5 et GPT-4 de ChatGPT contrevenaient à la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé, ainsi qu’aux lois provinciales applicables au Québec, en Colombie-Britannique et en Alberta.

• Mesures correctives prises par OpenAI

Depuis les conclusions préliminaires, OpenAI a pris certaines mesures correctives :

• elle a mis hors service les modèles non conformes;

• elle a mis en place des filtres pour repérer et masquer les renseignements personnels ou sensibles dans les sources utilisées pour l’entraînement;

• elle s’est engagée à fournir des avis plus clairs sur ses pratiques d’entraînement, à améliorer ses outils d’exportation des données, à mettre en place des mécanismes permettant de contester l’exactitude des renseignements et à renforcer les mesures de protection visant les personnes mineures.

This French companion article is not meant to be an exact translation, but rather an article that generally  covers the same topic as the English article.