Plaintes émanant du Commissaire visant la conformité de X Corp. et de X.AI LLC à la LPRPDE

Conclusions en vertu de la LPRPDE no 2026-004

Le 11 juin 2026

---

Vue d’ensemble

1. À la fin du mois de décembre 2025 et au début du mois de janvier 2026, de nombreux médias d’information ont indiqué que Grok, un robot conversationnel alimenté par l’intelligence artificielle (IA), avait généré et rendu public des millions d’hypertrucages sexuellement explicites d’individus réels et identifiables. Le 15 janvier 2026, en réponse aux inquiétudes croissantes, le Commissaire à la protection de la vie privée du Canada (CPVP) a pris l’initiative de formuler deux plaintes à l’encontre de X Corp., l’exploitant de la plateforme X, et de X.AI LLC (xAI), le développeur du robot conversationnel Grok (ensemble, les « parties intimées »), conformément au paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
2. Plus précisément, l’enquête visait à déterminer i) si X Corp. et xAI avaient obtenu le consentement valable des individus pour recueillir, utiliser et communiquer leurs renseignements personnels aux fins de création d’hypertrucages sexuellement explicites; et ii) si une personne raisonnable estimerait que recueillir, utiliser et communiquer des renseignements personnels dans le but d’offrir un service de génération d’images capable de produire des hypertrucages sexuellement explicites est acceptable dans les circonstances.
3. Le CPVP a conclu que les deux organisations n’avaient pas obtenu un consentement valable pour recueillir, utiliser et communiquer les renseignements personnels des individus dans le but de générer des hypertrucages à caractère sexuel, et qu’une personne raisonnable estimerait que cette pratique est inacceptable dans les circonstances données. De plus, bien que les parties intimées aient affirmé avoir pris un certain nombre de mesures pour répondre aux préoccupations concernant l’utilisation de Grok pour générer des hypertrucages à caractère sexuel (notamment en renforçant leurs mesures de protection techniques et organisationnelles), le CPVP a estimé que leur réponse face à la prolifération de ce type de contenu était insuffisante.
4. Par conséquent, dans le but d’amener X Corp. et xAI à se conformer à la LPRPDE, le CPVP a communiqué ses conclusions préliminaires et formulé un certain nombre de recommandations à l’intention des parties intimées.
5. Dans leur réponse à ces conclusions préliminaires et recommandations, X Corp. et xAI ont indiqué être en désaccord avec nos conclusions. Elles ont indiqué que le matériel d’exploitation sexuelle d’enfants (MESE) et les images intimes non consensuelles (IINC) n’avaient pas leur place sur leurs plateformes et ont affirmé qu’elles prenaient toutes les mesures raisonnables nécessaires pour empêcher leur apparition et qu’elles agissaient immédiatement dès que de tels contenus étaient portés à leur connaissance.
6. Bien que le CPVP reconnaisse que X Corp. et xAI ont désormais mis en place un ensemble de mesures de protection à plusieurs niveaux visant à réduire le risque que leur outil soit utilisé à mauvais escient pour produire des hypertrucages à caractère sexuel, le CPVP estime que les parties intimées n’ont pas, à ce jour, démontré l’efficacité de ces mesures pour atténuer pleinement ce problème. Dans ces circonstances, le CPVP ne peut conclure que la plainte est résolue au moment de la rédaction du présent rapport. Par conséquent, le CPVP considère que cette plainte est fondée (et non résolue en date du présent rapport).
7. Bien que le CPVP soit encouragé par les engagements que les parties intimées ont pris de mettre en place un certain nombre de mesures visant à protéger la vie privée, conformément à nos recommandations, nous continuerons de surveiller la mise en œuvre de ces engagements afin de nous assurer que les problèmes graves mis en lumière dans le présent rapport sont pleinement réglés.

Contexte

Structure organisationnelle

8. xAI est une entreprise d’IA enregistrée aux États-Unis qui a développé Grok, un robot conversationnel alimenté par l’IA générative.
9. X Corp. est l’entreprise technologique qui fournit la plateforme de médias sociaux X aux utilisateurs canadiens. Elle est enregistrée aux États-Unis et possède une société enregistrée au Canada (X Internet Canada ULC).
10. X Corp. et xAI ont toutes deux des sociétés de portefeuille (X Holding Corp. et XAI Corp., respectivement) qui, le 28 mars 2025, sont devenues des filiales sœurs en propriété exclusive^{Note de bas de page 1} de X.AI Holdings Corp. Le 2 février 2026, X.AI Holdings Corp. et Space Exploration Technologies Corp. (SpaceX) ont conclu une transaction qui a fait de SpaceX la société mère directe de X.AI Holdings Corp. Les structures organisationnelles de xAI et de X Corp. sont demeurées les mêmes.

Grok

11. Grok a été lancé en novembre 2023. C’est un service conversationnel basé sur l’IA générative qui peut générer du contenu en réponse à différents types de requêtes soumises par les utilisateurs^{Note de bas de page 2}. Il peut répondre à des questions, faire des remue-méninges, écrire du code et créer des animations ou des images.
12. Grok est alimenté par un grand modèle de langage (GML). Les GML sont des systèmes d’apprentissage machine très vastes et complexes qui sont capables de générer couramment du contenu détaillé et plausible – mais pas nécessairement exact – en réponse aux requêtes portant sur pratiquement n’importe quel sujet. Grok combine plusieurs modèles ou composants spécialisés afin de traiter différents types de données, comme du texte, des images, des fichiers audio et vidéo, et de les intégrer dans un seul système.
13. On peut accéder à Grok des façons suivantes :
    1. au moyen de Grok sur X, une fonctionnalité de robot conversationnel intégrée à la plateforme X et fournie par X Corp. Grok sur X permet aux utilisateurs qui ont un compte X d’interagir avec le robot conversationnel sur la plateforme X;
    2. par l’intermédiaire du compte @Grok, géré par xAI. L’entreprise xAI a expliqué que [traduction] « à bien des égards […] ce compte est comme n’importe quel autre compte d’utilisateur sur X ». Plus précisément, les utilisateurs peuvent interagir avec le compte @Grok dans un fil de discussion sur la plateforme X et @Grok répond sur ce fil;
    3. au moyen de l’application et du site Web autonomes de Grok (la version autonome de Grok) exploités par xAI. La version autonome de Grok est accessible de façon indépendante et elle propose certaines fonctionnalités supplémentaires qui ne sont pas offertes avec Grok sur X et le compte @Grok, par exemple des options de configuration et des fonctionnalités d’interaction. Un compte xAI est nécessaire pour utiliser l’application autonome, mais les utilisateurs peuvent recourir à l’authentification unique pour lier leurs comptes X et xAI.
14. Grok sur X, le compte @Grok et la version autonome de Grok sont donc des offres distinctes qui diffèrent sur le plan de l’intégration technique, des fonctionnalités et de l’expérience utilisateur.
15. Alors que le contenu généré à l’aide du compte @Grok sur un fil de discussion public^{Note de bas de page 3} est public par défaut, le contenu généré par l’intermédiaire de la version autonome de Grok et de Grok sur X ne peut être vu par d’autres que si l’utilisateur leur fournit une URL précise.

Chronologie de la génération de contenu sexuel non consensuel

16. C’est initialement en août 2024 que Grok a été mis à niveau pour ajouter une capacité de génération d’images. À l’époque, cette fonctionnalité était assurée par un modèle d’IA tiers et n’était offerte que par Grok sur X.
17. En décembre 2024, xAI a mis à jour la capacité de génération d’images de Grok en utilisant un nouveau modèle d’IA développé en interne, nommé Aurora, qu’elle a mis à disposition dans Grok sur X et dans la version autonome de Grok.
18. En mars 2025, xAI a déployé des capacités de génération d’images sur le compte @Grok. Plus particulièrement, les utilisateurs pouvaient désormais demander au compte @Grok, sur la plateforme X, de générer des images à partir d’une requête textuelle. Environ un mois plus tard, la fonction a été élargie afin que les utilisateurs puissent également demander au compte @Grok de modifier des images.
19. En juillet 2025, xAI a remplacé le modèle Aurora par un modèle de génération et de modification d’images perfectionné appelé Grok Imagine, doté de capacités de modification d’images améliorées permettant notamment de s’assurer que la représentation faciale est fidèle à l’image source originale (c’est-à-dire que les traits du visage de l’individu original sont préservés dans l’image modifiée produite par le modèle). Grok Imagine a été mis à disposition dans la version autonome de Grok, dans Grok sur X et sur le compte @Grok.
20. Les 23 et 24 décembre 2025, xAI a déployé une fonctionnalité permettant aux utilisateurs de modifier plus facilement des images sur la plateforme X. Plus précisément, les utilisateurs pouvaient désormais cliquer sur un bouton permettant de modifier les images dans X, y compris les images d’autres utilisateurs. Ils étaient alors redirigés vers la version autonome de Grok du site grok.com, où la fonctionnalité de modification d’images était offerte. Les utilisateurs pouvaient ensuite télécharger le contenu généré par Grok (c’est-à-dire l’image générée ou modifiée) ou le publier sur la plateforme X.
21. X Corp. et xAI soutiennent que, dans les jours qui ont suivi, alors que la fonctionnalité était de plus en plus utilisée, des « utilisateurs malveillants » ont commencé à contourner délibérément les mesures de protection et à générer du contenu qui enfreignait leurs politiques. Plus précisément, ces utilisateurs ont commencé à utiliser des termes apparemment inoffensifs, comme « peinture » ou « soie dentaire », pour inviter le compte @Grok à générer des hypertrucages sexuellement explicites d’individus identifiables, y compris du MESE ou des IINC.
22. Comme il est décrit plus en détail dans les sections pertinentes de ce rapport, xAI et X Corp. ont déclaré qu’elles avaient commencé à enquêter sur la génération d’images à caractère sexuel non consensuelles le 28 décembre 2025, lorsqu’elles ont appris que Grok était utilisé pour générer ce type de contenu. Le même jour, des excuses ont été publiées sur le compte @Grok concernant la génération et la diffusion d’une [traduction] « image générée par l’IA résultant de la requête d’un utilisateur et qui représentait deux jeunes filles (âgées d’environ 12 à 16 ans) dans une tenue suggestive »^{Note de bas de page 4}.
23. Étant donné les risques importants de préjudice associés aux hypertrucages à caractère sexuel, comme il est expliqué ci-dessous, et le fait que des populations vulnérables étaient particulièrement ciblées (par exemple les enfants et les femmes), le CPVP a été d’avis qu’il avait des motifs raisonnables d’enquêter sur X Corp. et xAI.
24. Par conséquent, le 15 janvier 2026, le CPVP a pris l’initiative de formuler deux plaintes à l’encontre de X Corp. et de xAI, au titre du paragraphe 11(2) de la LPRPDE.

Répercussions des hypertrucages à caractère sexuel

25. En réponse à la demande du CPVP visant à obtenir une estimation du nombre d’hypertrucages préjudiciables ou non consensuels de personnes mineures et adultes générés par Grok :
    1. X. Corp. a déclaré qu’au 6 mars 2026, en se fondant sur les rapports d’utilisateurs au Canada, elle avait retiré de la plateforme X 126 publications qui contenaient selon elle du MESE et des IINC.
    2. xAI a indiqué qu’elle n’était pas en mesure de fournir ces données pour la version autonome de Grok, car elle ne disposait pas d’une méthode fiable lui permettant d’obtenir cette information.
26. Selon certains articles de presse, en date du 8 janvier 2026, Grok avait, à l’échelle mondiale, généré plus de 6 000 hypertrucages à caractère sexuel par heure^{Note de bas de page 5} et environ 1,8 million d’images à caractère sexuel depuis le 29 décembre 2025^{Note de bas de page 6}. L’organisme sans but lucratif Center for Countering Digital Hate a estimé que, du 29 décembre 2025 au 8 janvier 2026, Grok avait généré environ trois millions d’hypertrucages à caractère sexuel, dont plus de 23 000 images d’enfants^{Note de bas de page 7}. L’organisme sans but lucratif AI Forensics a analysé plus de 20 000 images générées par Grok entre le 25 décembre 2025 et le 1er janvier 2026. Il a constaté que plus de la moitié de ces images contenaient des personnes peu vêtues et que 2 % (400) représentaient des personnes qui semblaient être âgées de 18 ans ou moins. En date des 13 et 14 janvier 2026, près de 10 % d’un échantillon d’images générées par Grok montraient des personnes peu vêtues^{Note de bas de page 8}.
27. Le CPVP ne se prononce pas quant à la quantité exacte de MESE et d’IINC qui ont été publiés sur les plateformes des parties intimées, mais, compte tenu des données disponibles dans le domaine public et du fait que les parties intimées n’ont pas nié ce fait, nous concluons que de telles images ont existé.

Méthodologie et portée

28. L’enquête visait à déterminer si :
    1. xAI et X Corp. ont obtenu un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels aux fins de la génération d’hypertrucages à caractère sexuel, conformément à l’article 4.3 de l’annexe 1 de la LPRPDE;
    2. une personne raisonnable estimerait que recueillir, utiliser et communiquer des renseignements personnels dans le but d’offrir un service de génération d’images capable de générer des hypertrucages à caractère sexuel est acceptable dans les circonstances.
29. Compte tenu des risques particuliers et considérables associés aux hypertrucages à caractère sexuel (voir les précisions ci-dessous), notre enquête s’est concentrée sur ceux-ci plutôt que sur les hypertrucages en général^{Note de bas de page 9}.
30. Dans le cadre de son enquête, le CPVP a tenu compte de renseignements provenant de diverses sources, y compris i) les observations écrites que les parties intimées lui ont fournies et ii) l’information qu’il a recueillie auprès de sources accessibles au public concernant les enjeux pertinents pour l’enquête et qu’il a analysée.
31. Même si le CPVP a évalué la conformité de chaque partie intimée individuellement, les conclusions de ce rapport s’appliquent également à chaque partie intimée. Par conséquent, compte tenu des circonstances particulières de cette enquête – qui, à notre avis, portait sur une question urgente justifiant une procédure accélérée – le CPVP a combiné l’analyse des enjeux concernant chaque partie intimée et a produit un seul rapport.

Analyse

Compétence

32. L’alinéa 4(1)a) de la LPRPDE prévoit que la Loi s’applique à « toute organisation à l’égard des renseignements personnels soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales ». Aux termes de la LPRPDE, une « activité commerciale » s’entend de « [t]oute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature ».
33. La LPRPDE s’applique aux organisations situées à l’extérieur du Canada qui ont un lien réel et substantiel avec le Canada. Selon nous, les circonstances de la présente affaire démontrent qu’il existe un lien réel et substantiel avec le Canada. Pour en arriver à cette conclusion, le CPVP a tenu compte des facteurs suivants :
    1. Les parties intimées offrent leurs services au Canada et comptent des utilisateurs actifs mensuels, notamment des abonnés payants au Canada. Plus précisément, X Corp. génère des revenus grâce à des annonceurs et à des services par abonnement. L’entreprise xAI génère également des revenus en offrant des services par abonnement ainsi qu’en fournissant aux développeurs un accès payant à l’interface de programmation d’applications (API) de Grok. Il est important de souligner que, dans le cadre de leurs activités commerciales, les deux organisations recueillent, utilisent et communiquent les renseignements personnels des individus qui utilisent Grok sur la plateforme X et la version autonome de Grok.
    2. Les utilisateurs situés au Canada peuvent visiter les sites Web des parties intimées et utiliser leurs services. X Corp. a mentionné qu’en avril 2025, elle comptait environ 8,8 millions d’utilisateurs actifs quotidiens et monnayables^{Note de bas de page 10} au Canada pour ses services. Pour sa part, xAI a indiqué qu’en février 2026, elle comptait environ 1,3 million d’utilisateurs actifs quotidiens et monnayables au Canada pour ses services. De plus, X Corp. peut recueillir, utiliser et communiquer des renseignements personnels de Canadiennes et de Canadiens qui sont publiés sur la plateforme X ou dans la version autonome de Grok, même si ces derniers ne sont pas eux-mêmes des utilisateurs de la plateforme X ou de la version autonome de Grok. Par conséquent, nous concluons que les parties intimées recueillent, utilisent et communiquent des renseignements personnels concernant des individus au Canada.
    3. Les conditions d’utilisation et politiques de confidentialité des deux parties intimées s’appliquent aux utilisateurs du Canada et font mention du consentement à la collecte, à l’utilisation et à la communication de renseignements personnels, ainsi qu’aux droits d’accès et de correction connexes.
    4. Le CPVP note que les activités des parties intimées se déroulent exclusivement par l’intermédiaire d’un site Web ou d’une application. Comme il est indiqué au paragraphe 54 de la décision A.T. c. Globe24h.com^{Note de bas de page 11}, une présence physique au Canada n’est pas nécessaire pour établir un lien réel et substantiel lorsqu’il s’agit de sites Web sous le régime de la LPRPDE, car les télécommunications se situent « à la fois ici et à l’autre endroit ».
    5. Les activités des parties intimées requièrent la transmission de renseignements personnels entre le Canada et les États-Unis et la réception de tels renseignements dans les deux pays, tant pour la collecte que pour la communication de renseignements par l’intermédiaire de Grok, que ce soit sur la plateforme X ou dans la version autonome de Grok.
34. Comme X Corp. et xAI exercent toutes deux des « activités commerciales » au sens de la LPRPDE et qu’elles recueillent, utilisent et communiquent des renseignements personnels concernant des individus au Canada, le CPVP a établi qu’il existe un lien réel et substantiel avec le Canada. Par conséquent, le CPVP a compétence pour enquêter et formuler des recommandations au sujet du traitement des renseignements personnels par les parties intimées dans sa juridiction fédérale.

Enjeu 1 : Les parties intimées ont-elles obtenu un consentement valable pour produire des hypertrucages à caractère sexuel d’individus?

35. Comme il est décrit ci-dessous, le CPVP conclut que X Corp. et xAI n’ont pas obtenu le consentement valable des individus concernés pour recueillir, utiliser et communiquer leurs renseignements personnels afin de générer des hypertrucages à caractère sexuel.

Hypertrucages et renseignements personnels

36. L’article 4.3 du troisième principe figurant à l’annexe 1 de la LPRPDE prévoit, entre autres, que « [t]oute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir ».
37. La LPRPDE définit les renseignements personnels comme « [t]out renseignement concernant un individu identifiable ». Il peut s’agir de l’image d’un individu identifiable générée par un service d’IA comme Grok, peu importe que ce qui y est représenté soit réel ou authentique.
38. Bien qu’il existe de nombreux types de médias synthétiques (c’est-à-dire des images, des vidéos, du texte ou des enregistrements audio générés artificiellement), le Forum canadien des organismes de réglementation du numérique, dont le CPVP est membre, définit l’hypertrucage comme des médias synthétiques « modifiés numériquement ou générés par l’IA pour représenter des personnes ou des choses réelles ou fictives^{Note de bas de page 12} ». Dans le cas de personnes réelles, les traits et caractéristiques présentés dans l’hypertrucage pourraient ne pas être vraiment ceux de l’individu qui y est représenté (ou ne pas être réels), c’est-à-dire qu’ils ont été générés artificiellement par un outil. Cependant, comme un hypertrucage semble généralement porter sur un individu en particulier, même si l’information qui y est présentée est inexacte, nous estimons que l’hypertrucage constitue néanmoins un renseignement personnel concernant l’individu^{Note de bas de page 13}.
39. Par conséquent, le CPVP conclut que les hypertrucages d’individus générés par Grok, y compris ceux qui contenaient du MESE et des IINC, constituent des renseignements personnels de ces individus.

Forme de consentement

40. Dans la présente section, le CPVP évalue la forme du consentement qui est requis pour recueillir, utiliser et communiquer des renseignements personnels dans le but de générer des hypertrucages à caractère sexuel.
41. L’article 4.3.4 du troisième principe de la LPRPDE prévoit que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements.
42. De plus, l’article 4.3.5 du même principe établit que, dans l’obtention du consentement, les attentes raisonnables de l’individu sont aussi pertinentes. L’article 6.1 de la LPRPDE prévoit en outre que, pour que le consentement d’un individu soit valable au titre de l’article 4.3 du troisième principe figurant à l’annexe 1 de la Loi, il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
43. Finalement, les Lignes directrices pour l’obtention d’un consentement valable du CPVP prévoient qu’en règle générale, les organisations doivent obtenir un consentement explicite dans les cas suivants : i) les renseignements recueillis, utilisés ou communiqués sont sensibles; ii) la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé; et iii) la collecte, l’utilisation ou la communication de l’information crée un risque résiduel important de préjudice grave.

Nature sensible

44. La page Bulletin d’interprétation : Renseignements sensibles du CPVP précise quels facteurs sont pertinents pour déterminer si les renseignements personnels sont sensibles. Par exemple, les renseignements personnels touchant la vie sexuelle ou l’orientation sexuelle d’un individu sont généralement considérés comme de nature sensible et doivent être mieux protégés.
45. De plus, la résolution conjointe sur l’intérêt supérieur des jeunes, dont le CPVP est signataire, souligne que les renseignements personnels des jeunes sont particulièrement sensibles.
46. Les hypertrucages à caractère sexuel présentent les individus dans des situations sexuellement explicites. Ils sont profondément intrusifs, car ils montrent les individus dans un état vulnérable et révèlent des caractéristiques physiques et comportementales extrêmement personnelles et sensibles.
47. De ce fait, le CPVP considère que les hypertrucages à caractère sexuel contiennent des renseignements personnels sensibles sur les individus représentés.

Attentes raisonnables

48. Le CPVP estime que les individus ne pourraient raisonnablement s’attendre à ce que des images inoffensives d’eux-mêmes, publiées sur une plateforme de médias sociaux, dans un billet de blogue ou sur d’autres sites Web similaires, soient traitées au moyen d’un outil d’IA afin de générer un hypertrucage à caractère sexuel les représentant. Ce constat vaut particulièrement dans le cas des hypertrucages représentant des mineurs.
49. En effet, il est probable que les individus aient publié ces images sur Internet à des fins n’ayant aucun lien avec les hypertrucages (ils auront par exemple partagé une photo de vacances avec des proches ou publié une photo d’eux pour des raisons professionnelles). De plus, il est possible que les individus n’aient pas eux-mêmes publié ces images.
50. Par conséquent, le CPVP est d’avis que ces individus n’auraient pu s’attendre à ce qu’un tiers avec qui ils n’avaient probablement aucun lien utilise les outils d’IA des parties intimées pour transformer leurs images en hypertrucages à caractère sexuel et diffuse ces derniers.

Risque de préjudice

51. Le CPVP conclut que la génération et la publication de tels hypertrucages à caractère sexuel, surtout à l’insu et sans le consentement des individus représentés, peuvent poser un risque réel de préjudice grave pour ces derniers, y compris un risque d’atteinte à la réputation ou encore un risque de préjudice psychologique ou financier (par exemple, perte d’une possibilité d’emploi ou sextorsion)^{Note de bas de page 14}.
52. Pour toutes ces raisons, le CPVP estime qu’un consentement explicite est requis pour recueillir, utiliser et communiquer des renseignements personnels dans le but de générer des hypertrucages à caractère sexuel.
53. Les parties intimées ont déclaré qu’elles n’ont pas de processus en place pour obtenir le consentement des individus afin de recueillir, d’utiliser et de communiquer leurs renseignements personnels dans le but de générer des hypertrucages par l’intermédiaire du compte @Grok, de Grok sur X ou de la version autonome de Grok. Elles ont indiqué qu’elles ne sont pas responsables d’obtenir le consentement des individus qui apparaissent dans les hypertrucages à caractère sexuel parce que [traduction] « les utilisateurs sont les premiers responsables du contenu qu’ils génèrent sur leurs plateformes respectives ».
54. Plus précisément, X Corp. a déclaré que, [traduction] « lorsqu’un utilisateur de X demande au compte @Grok de générer des images qui sont ensuite publiées sur la plateforme X, la collecte, l’utilisation ou la communication de renseignements personnels aux fins de génération et de partage de ce contenu est effectuée et déterminée par l’utilisateur ».
55. De même, xAI a soutenu que [traduction] « la génération d’images synthétiques par Grok serait considérée comme une collecte, une utilisation ou une communication de renseignements par l’utilisateur même qui a entré la requête pour la création de l’image ».
56. Les parties intimées ont également soutenu que les utilisateurs se servent de ces outils à des fins « personnelles » et « artistiques » et qu’il ne leur serait donc pas nécessaire, au titre de la LPRPDE, d’obtenir un consentement pour la création d’hypertrucages.
57. Le CPVP n’est pas d’accord pour les raisons suivantes :
    1. Comme il est mentionné ci-dessus, la LPRPDE s’applique aux organisations qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre d’activités commerciales, et cela vaut pour xAI et X Corp.
    2. La politique de confidentialité de xAI indique qu’afin de fournir, d’analyser et de maintenir ses services, l’entreprise peut recueillir des renseignements personnels directement auprès des utilisateurs, qu’il s’agisse ou non des renseignements personnels les concernant. Le contenu des utilisateurs comprend [traduction] « les requêtes et autres éléments de contenu entrés [par les utilisateurs], comme des fichiers, des images, des enregistrements audio, vocaux et vidéo et d’autres matériels », ainsi que les résultats fournis par Grok (comme les réponses qu’il génère).
    3. La politique de confidentialité de X Corp. indique qu’afin « de […] fournir [ses] produits et services, et de rendre X plus sûr et plus respectueux pour chacun et plus pertinent pour [les utilisateurs] », l’entreprise recueille des renseignements personnels, notamment « [l]es posts, […] [les] interactions avec les contenus des autres utilisateurs, comme les reposts, J’aime, signets, partages, téléchargements ou réponses »^{Note de bas de page 15}.
    4. Bien que les utilisateurs fournissent les requêtes et les images à partir desquels Grok génère les hypertrucages à caractère sexuel, en fin de compte, ce sont X Corp. et xAI qui recueillent ces renseignements et permettent leur utilisation dans le but de générer des hypertrucages. Elles le font au moyen d’un outil qu’elles ont développé et déployé, qu’elles hébergent, et qu’elles rendent accessible aux utilisateurs de leurs plateformes dans le cadre d’une activité commerciale.
58. Par conséquent, le CPVP est d’avis que xAI et X Corp. sont responsables du contenu généré sur leurs plateformes et qu’elles sont donc tenues de veiller à ce qu’un consentement valable ait été obtenu pour la collecte, l’utilisation et la communication de renseignements personnels dans le but de générer des hypertrucages à caractère sexuel.
59. Comme il est mentionné ci-dessus, X Corp. et xAI ont déclaré qu’elles ne vérifiaient pas si les individus représentés dans les hypertrucages avaient donné leur consentement. De ce fait, le CPVP conclut que xAI et X Corp. ont contrevenu aux articles 4.3 et 4.3.4 du troisième principe de la LPRPDE.

Enjeu 2 : Est-ce qu’une personne raisonnable estimerait qu’il est acceptable que les parties intimées produisent des hypertrucages à caractère sexuel d’individus?

60. Selon le paragraphe 5(3) de la LPRPDE, « [une] organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».
61. Le Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) du CPVP précise que, dans Turner c. Telus Communications Inc., la Cour fédérale a défini les facteurs permettant de déterminer si la fin visée par une organisation est conforme au paragraphe 5(3). Au moment d’analyser les pratiques des deux parties intimées, le CPVP a donc tenu compte des facteurs pertinents suivants : i) le caractère sensible des renseignements personnels; ii) le besoin ou les intérêts commerciaux légitimes des organisations à l’égard de ces pratiques; iii) l’existence de moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables; et iv) la proportionnalité de l’atteinte à la vie privée par rapport aux avantages des pratiques.
62. Comme il est expliqué ci-après, le CPVP estime que le fait pour les parties intimées de fournir à leurs utilisateurs un outil de génération et de modification d’images répond à un intérêt commercial légitime. Toutefois, en ce qui concerne la génération d’hypertrucages à caractère sexuel, comme ces derniers sont basés sur des renseignements personnels sensibles et qu’ils entraînent une atteinte à la vie privée et un risque de préjudice grave pour les individus, le CPVP est d’avis que la génération d’hypertrucages à caractère sexuel cause des atteintes à la vie privée et d’autres préjudices qui l’emportent largement sur les avantages pour les organisations. Le CPVP estime aussi qu’il existe des moyens portant moins atteinte à la vie privée pour atteindre les fins visées par les parties intimées pour un coût et des avantages comparables.

Caractère sensible des renseignements personnels

63. Comme il est mentionné au paragraphe 44 et aux paragraphes suivants, le CPVP considère généralement que les hypertrucages à caractère sexuel contiennent des renseignements personnels sensibles.

Besoin ou intérêts commerciaux légitimes des organisations

64. L’entreprise xAI a indiqué que son objectif visé est de développer et de fournir des services d’IA aux utilisateurs finaux, aux clients d’entreprise et à d’autres développeurs. Quant à X Corp., elle a affirmé que son objectif visé est de fournir une plateforme de communication aux utilisateurs, aux annonceurs, aux créateurs et aux entreprises. Les deux organisations ont déclaré qu’elles n’avaient jamais eu, ni par le passé ni maintenant, l’intention de générer des hypertrucages à caractère sexuel d’individus identifiables.
65. Le CPVP convient que le déploiement d’une technologie de génération d’images et de vidéos peut servir l’objectif général des deux parties intimées et, par conséquent, qu’il répond pour elles à un besoin ou à un intérêt commercial légitime. Toutefois, le CPVP estime que cela ne s’applique pas à un outil de génération d’images qui permet de créer des hypertrucages à caractère sexuel non consensuels d’individus identifiables.

Existence de moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables

66. Le CPVP estime que, si elles avaient été prévoyantes, les parties intimées auraient pu développer et déployer un outil d’IA permettant de générer et de modifier des images qui, pour un coût comparable, aurait moins porté atteinte à la vie privée et aurait offert des avantages comparables (tant aux utilisateurs qu’aux parties intimées).
67. Plus précisément, si elles avaient intégré dès le départ des mesures de protection robustes à leur technologie (avant son lancement), plutôt que d’essayer de remédier à la mauvaise utilisation de leur outil de façon rétroactive, les parties intimées auraient probablement pu empêcher leur outil de générer des hypertrucages à caractère sexuel préjudiciables, tout en offrant à leurs utilisateurs une fonctionnalité de génération et de modification d’images.
68. Comme il est expliqué au paragraphe 82, bien que les parties intimées aient effectué une évaluation des facteurs relatifs à la vie privée (EFVP) à l’égard de certaines fonctionnalités, elles ont omis de cerner certains risques clés, dont le fait que de nombreux utilisateurs pourraient soumettre à Grok des requêtes visant à générer des hypertrucages à caractère sexuel.
69. Si elles avaient mieux établi et atténué les risques au début du cycle de développement, les parties intimées auraient limité l’ampleur des préjudices causés aux individus représentés dans les hypertrucages et auraient conservé la confiance du public en faisant preuve de responsabilité.

Proportionnalité de l’atteinte à la vie privée par rapport aux avantages

70. Pour mettre en balance l’atteinte à la vie privée et les avantages du déploiement d’un outil d’IA de génération et de modification d’images capable de produire des hypertrucages à caractère sexuel d’individus identifiables, le CPVP a pris en compte i) le risque de préjudice grave associé à la collecte, à l’utilisation et à la communication de tels renseignements personnels; ii) le fait que les parties intimées n’ont pas mis en place de processus permettant d’obtenir le consentement relatif à cette pratique et, de façon plus générale, la difficulté d’obtenir le consentement dans les circonstances; et iii) l’absence de mesures de protection rigoureuses et d’intervention adéquate en cas de génération et de communication non consensuelle d’hypertrucages à caractère sexuel.
71. Comme il est expliqué ci-dessous, le CPVP estime que l’atteinte à la vie privée et le risque de préjudice grave pour l’individu concerné l’emporte largement sur les avantages de ce service.

Risque de préjudice

72. Comme il est mentionné au paragraphe 51, le CPVP est d’avis que les risques de préjudice associés à la collecte, à l’utilisation et à la communication de renseignements personnels dans le but de générer des hypertrucages à caractère sexuel sont très importants, surtout lorsque le consentement des individus représentés n’a pas été obtenu. Ces risques comprennent notamment l’atteinte à la réputation, la sextorsion, la cyberintimidation, le conditionnement^{Note de bas de page 16} et la perte ou le refus d’un emploi.

Absence d’un processus visant à obtenir le consentement ou impossibilité pratique d’obtenir le consentement

73. Les parties intimées ont déclaré qu’elles n’avaient pas l’intention de recueillir, d’utiliser et de communiquer des renseignements personnels aux fins de la génération d’hypertrucages à caractère sexuel sans le consentement des individus concernés et qu’elles avaient mis en place des mesures de protection pour empêcher toute génération d’hypertrucages à caractère sexuel (comme il est expliqué ci-dessous).
74. Cela dit, le CPVP constate que les conditions d’utilisation des parties intimées ne semblent pas interdire formellement aux individus d’utiliser Grok pour générer des hypertrucages à caractère sexuel avec le consentement des individus concernés, et que certains individus pourraient, en théorie, consentir à la collecte, à l’utilisation et à la communication d’hypertrucages à caractère sexuel les représentant.
75. Le CPVP a déjà par le passé conclu que, en ce qui concerne les images ou les vidéos pornographiques, les sites Web et les plateformes devraient avoir des mesures rigoureuses en place pour veiller à ce que tous les individus représentés dans le contenu généré par les utilisateurs soient au courant de sa publication et y aient consenti^{Note de bas de page 17}.
76. Comme il est expliqué au paragraphe 53, les parties intimées ont toutes deux reconnu qu’elles n’avaient pas mis en place de processus pour s’assurer que les personnes représentées ont consenti à la collecte, à l’utilisation et à la communication de leurs renseignements personnels dans le but de générer des hypertrucages à caractère sexuel.
77. Le CPVP reconnaît qu’un tel processus de vérification du consentement pourrait être difficile à mettre en place, voire irréalisable, dans le contexte d’une plateforme de média social d’usage général comme X ou d’un robot conversationnel en ligne et accessible librement (la version autonome de Grok).
78. Toutefois, les défis opérationnels liés à la surveillance de la conformité ne justifient pas de réduire les obligations prévues par la LPRPDE, particulièrement lorsque l’organisation crée elle-même ces défis et qu’il existe des préjudices graves pour les individus concernés^{Note de bas de page 18}. Dans ce cas, le CPVP conclut que les parties intimées ont pris des décisions éclairées sur la façon dont elles ont structuré leur entreprise, puis développé et déployé la technologie d’IA sur leurs plateformes respectives et sur la façon dont ces choix ont eu une incidence sur la vie privée des individus. Par conséquent, elles ne peuvent donc pas affirmer qu’il serait impossible de limiter les préjudices associés à un outil qu’elles ont elles-mêmes créé et lancé.
79. Compte tenu de ce qui précède, le CPVP est d’avis qu’une personne raisonnable estimerait qu’il est inacceptable de permettre la génération et la diffusion d’hypertrucages à caractère sexuel sans avoir d’abord vérifié si les individus représentés avaient donné leur consentement, et que les préjudices et l’atteinte à la vie privée qui en résultent l’emportent nettement sur les avantages potentiels pour les parties intimées.

Absence de mesures de protection efficaces et d’intervention adéquate

80. Dans ce contexte où le consentement n’est pas vérifié, et ne peut vraisemblablement pas l’être, le CPVP estime que les parties intimées auraient dû atténuer les préjudices à la vie privée en mettant en place de solides mesures de protection techniques et organisationnelles pour empêcher efficacement Grok de générer des hypertrucages à caractère sexuel, particulièrement des hypertrucages présentant du MESE et des IINC.
81. Les parties intimées ont déclaré qu’avant que des préoccupations soient soulevées concernant la génération d’hypertrucages à caractère sexuel sans le consentement des individus concernés, elles avaient, et continuent d’avoir, un certain nombre de mesures de protection organisationnelles et techniques en place pour empêcher qu’un tel contenu soit généré et publié.
    1. Mesures organisationnelles
       1. Les parties intimées ont toutes deux déclaré qu’elles avaient effectué des EFVP. Il en sera plus amplement question plus loin dans ce rapport.
       2. X Corp. a également affirmé qu’elle a mis en place d’autres mesures organisationnelles, notamment une série de politiques qui soutiennent l’atténuation des risques associés au contenu publié sur la plateforme X (y compris le contenu généré par l’IA) et visent à prévenir le contenu et les comportements non conformes; des mécanismes de signalement et de règlement des griefs; et un cadre d’application pour l’examen et le retrait du contenu non conforme.
       3. xAI a également soutenu que, selon ses conditions d’utilisation, les utilisateurs doivent respecter sa politique d’utilisation acceptable, qui interdit explicitement la sexualisation et l’exploitation des enfants ainsi que [traduction] « la représentation pornographique de personnes » et que, comme X Corp., lorsqu’elle détecte du contenu non conforme, elle le retire et prend des mesures d’application de la loi à l’endroit de l’utilisateur qui l’a créé, notamment en signalant ce dernier aux autorités, le cas échéant.
    2. Mesures techniques
       1. xAI a affirmé qu’elle a mis en place le filtrage des saisies et des résultats (par exemple des classificateurs^{Note de bas de page 19} qui vérifient la présence de mots-clés donnés, comme « enfant ») et la modération du contenu et qu’elle utilise la base de données du National Center for Missing and Exploited Children des États-Unis et d’autres listes de hachage de MESE^{Note de bas de page 20}, entre autres.
82. Toutefois, en ce qui concerne les EFVP, le CPVP constate ce qui suit :
    1. L’EFVP effectuée par X Corp. ne portait que sur Aurora (le modèle d’IA destiné à la génération et à la modification d’images ajouté à Grok en décembre 2024). L’EFVP n’a été mise à jour pour inclure Grok Imagine qu’en mars 2026, à la suite de nombreux signalements selon lesquels des images intimes générées sans le consentement des individus concernés et du MESE avaient été diffusées par Grok. C’est seulement dans l’EFVP mise à jour que X Corp. a inclus un protocole d’intervention en cas d’incident, qui décrit le protocole d’intervention en cas d’incident qui a été appliqué à la fin de décembre 2025. L’EFVP ne précise pas en quoi consiste le protocole d’intervention en cas d’incident; elle mentionne plutôt qu’en réponse aux révélations faites à la fin de décembre 2025, [traduction] « X a rapidement pris des mesures pour retirer le contenu non conforme relativement à l’incident, et que des mesures techniques supplémentaires ont été mises en place pour améliorer les mesures de protection existantes ». De plus, X Corp. affirme dans son EFVP que [traduction] « cet incident [à la fin de décembre 2025] illustre l’efficacité du protocole d’intervention en cas d’incident pour combler les lacunes des mesures de protection existantes ». Comme il en est plus amplement question au paragraphe 88, le CPVP n’est pas d’accord avec l’affirmation des parties intimées selon laquelle leur protocole d’intervention en cas d’incident a réellement permis de régler la situation.
    2. L’EFVP effectuée par xAI portait sur Grok en général et ne comportait pas d’évaluation relative au compte @Grok en particulier.
       1. xAI a expliqué qu’elle avait procédé ainsi [traduction] « parce qu’il n’était pas nécessaire d’effectuer une évaluation distincte des capacités existantes de génération d’images du compte @Grok », étant donné que celui-ci ne fournissait pas aux utilisateurs [traduction] « de nouvel outil de traitement de données en tant que tel », mais simplement [traduction] « un autre moyen d’accéder simultanément aux deux services existants », à savoir [traduction] « la génération de contenu en réponse aux requêtes des utilisateurs (@Grok) et la publication automatique de ce contenu sur la plateforme X ».
       2. Bien que le CPVP reconnaisse que le compte @Grok n’utilise aucun nouvel outil de traitement de données, il estime qu’une EFVP distincte aurait dû être effectuée pour le compte @Grok, étant donné que les répercussions sur la vie privée de la production de médias synthétiques à l’aide du compte @Grok sont distinctes de celles découlant de la production de médias synthétiques au moyen de la version autonome de Grok. Comme il est mentionné ci-dessus, dans le cas du compte @Grok, le contenu généré par Grok est partagé avec tous les individus qui ont accès au fil de discussion dans lequel le contenu est publié. De plus, le CPVP constate que c’est principalement sur la plateforme X, au moyen du compte @Grok, que des préoccupations ont été soulevées à la suite de la génération d’hypertrucages à caractère sexuel sans le consentement des individus concernés, ce qui témoigne du risque et du préjudice accrus découlant du déploiement du bouton de modification des images sur la plateforme X.
    3. Dans son EFVP, xAI a tenu compte des risques liés à la sécurité et à la vie privée qui pouvaient découler de l’utilisation malveillante de Grok, mais ne les a pas reflétés avec exactitude. Plus précisément, l’EFVP mentionne qu’un [traduction] « GML pourrait […] être utilisé pour générer des images photoréalistes ou d’autres types de contenu aux fins d’exploitation sexuelle, de chantage, d’exploitation financière, de tromperie ou de propagation de mésinformation ». Cependant, xAI a indiqué que, pour atténuer les risques, en plus d’appliquer des mesures de protection, elle limite le nombre de requêtes qu’un [traduction] « utilisateur non authentifié de Grok – par opposition à un utilisateur authentifié qui se connecte à Grok au moyen d’un authentifiant quelconque […] – peut soumettre dans une période donnée sans se connecter ». Comme il est indiqué dans l’EFVP, cette mesure vise à [traduction] « réduire la probabilité que des auteurs malveillants utilisent Grok à des fins malveillantes et à augmenter la probabilité que, dans la mesure où des auteurs malveillants essaient d’utiliser Grok à des fins malveillantes, leur activité soit associée à un compte utilisateur de Grok vérifiable que xAI peut bloquer ». Le CPVP constate que xAI n’a pas pris en compte le risque qu’un grand nombre d’utilisateurs puisse générer des hypertrucages à caractère sexuel lorsque les mesures de protection étaient insuffisantes pour l’empêcher, et a même estimé que la génération périodique d’hypertrucages à caractère sexuel constituait un risque « faible », étant donné leurs mesures de protection existantes.
    4. X Corp. a affirmé qu’elle avait mené une évaluation de la sécurité au moment d’intégrer le modèle Grok au robot conversationnel Grok sur X, comme il est indiqué dans l’EFVP.
83. Le CPVP constate que la génération à grande échelle d’hypertrucages à caractère sexuel sans le consentement des individus concernés (on a signalé des millions d’images produites par Grok) montre que les mesures de protection des parties intimées étaient insuffisantes. Plus précisément, le CPVP conclut que les parties intimées ont développé et déployé la fonctionnalité de génération et de modification d’images sans avoir évalué correctement les risques associés à l’outil ni mis en place des mesures de protection rigoureuses, ce qui a fait en sorte qu’elles n’ont pu atténuer efficacement ces risques.
84. Par conséquent, constatant que la génération d’hypertrucages à caractère sexuel met en cause des renseignements personnels sensibles, le CPVP estime que, bien que le fait pour les parties intimées de fournir à leurs utilisateurs un outil de génération et de modification d’images répondait à un intérêt commercial légitime, il existait des moyens portant moins atteinte à la vie privée de le faire. De plus, le CPVP est d’avis que l’atteinte à la vie privée, ainsi que le préjudice résultant de cette pratique, l’emportent nettement sur les avantages pour les organisations. Cette évaluation est fondée sur le risque de préjudice grave résultant de la génération d’hypertrucages à caractère sexuel d’individus identifiables, de l’absence d’un processus de consentement (ou du caractère irréalisable d’un tel processus) et de l’incapacité des parties intimées de mettre en place des mesures de protection efficaces. Ainsi, le CPVP conclut que xAI et X Corp. ont contrevenu au paragraphe 5(3) de la LPRPDE.

Réponse initiale aux préoccupations soulevées par la génération d’hypertrucages à caractère sexuel

85. X Corp. a déclaré que le 28 décembre 2025, peu après avoir pris connaissance des préoccupations soulevées publiquement concernant la génération d’hypertrucages à caractère sexuel sans le consentement des individus concernés, elle a déclenché son protocole de crise et a commencé à collaborer avec xAI pour remédier au problème.
86. Plus précisément :
    1. X Corp. et xAI ont déclaré avoir immédiatement commencé à effectuer des « balayages » afin de détecter le contenu qui pourrait être non conforme, ce qui a « entraîné l’examen de catégories supplémentaires de contenu généré par Grok et de requêtes adressées à Grok » [traduction]. Elles ont en outre indiqué avoir procédé à des balayages supplémentaires début janvier et avoir pris des mesures à l’encontre du contenu non conforme et des utilisateurs à l’origine de ce contenu.
    2. xAI a renforcé ses mesures techniques et mis en place des mesures supplémentaires. Plus précisément :
       1. Le 8 janvier 2026, xAI a empêché le compte @Grok de répondre à des requêtes ou à des tentatives de contournement qui auraient généré des hypertrucages à caractère sexuel d’individus identifiables. Le 14 janvier 2026, ces mêmes mesures préventives ont été appliquées à tous les utilisateurs de Grok sur X et de la version autonome de Grok, y compris les utilisateurs Premium de la plateforme X.
       2. Le 8 janvier 2026, xAI, en collaboration avec X Corp., a empêché les utilisateurs qui n’avaient pas d’abonnement actif à la version X Premium d’accéder à la fonctionnalité de génération d’images à partir du compte @Grok^{Note de bas de page 21}.
       3. xAI a peaufiné les classificateurs (voir la définition à la note de bas de page 19) utilisés pour la modération du contenu.
    3. X Corp. a mis à jour les directives et la formation données à son équipe de sécurité afin que celle-ci soit mieux en mesure de détecter les auteurs malveillants sur la plateforme. Elle a également révisé ses politiques internes et resserré ses lignes directrices (publiées les 16 et 22 janvier 2026) afin d’être généralement mieux outillée pour traiter le contenu sexuel non désiré. X Corp. n’a pas donné de précisions sur les changements apportés.
    4. X Corp. a également précisé qu’elle a suspendu et, le cas échéant, signalé aux autorités judiciaires, les comptes des utilisateurs qui contrevenaient de façon répétée ou flagrante à ses politiques, par exemple en soumettant au compte @Grok des requêtes visant la génération et le partage de certains types de contenu.
87. Dans les observations transmises au CPVP en mars 2026, X Corp. a indiqué que les mesures susmentionnées avaient permis de réduire d’environ de moitié le nombre [traduction] « d’infractions liées à la génération par Grok de contenu sexuel non désiré ».
88. Pour les raisons suivantes, le CPVP a estimé que la réponse initiale de X Corp. et xAI a été insuffisante :
    1. Alors que X Corp. a affirmé que « le nombre d’infractions liées à la génération de contenu sexuel non désiré par Grok » [traduction] a diminué d’environ de moitié en raison des changements apportés, il demeurait possible de générer et de partager des hypertrucages à caractère sexuel sans le consentement des individus concernés sur la plateforme X. De plus, on ne sait pas exactement quel nombre a diminué de moitié, et donc combien d’hypertrucages à caractère sexuel continuaient d’être générés à l’aide de Grok. Comme il est mentionné au paragraphe 25, selon certains articles de presse et études, on estime que Grok a généré plusieurs millions d’hypertrucages à caractère sexuel. De plus, xAI n’a fourni aucun indicateur permettant de démontrer concrètement l’efficacité des mesures qu’elle a prises concernant la version autonome de Grok.
    2. Bien que les parties intimées aient indiqué avoir déclenché leur protocole de crise le 28 décembre 2025, il leur a fallu plus de dix jours pour mettre en place les mesures techniques décrites au paragraphe 86(b) afin de tenter d’empêcher les utilisateurs d’enfreindre leurs politiques. Le CPVP juge qu’il s’agit d’une réponse insuffisante et tardive à la génération par Grok d’un très grand nombre (possiblement plusieurs millions) d’hypertrucages à caractère sexuel sans le consentement des individus concernés.

Recommandations

89. Compte tenu de ce qui précède, le CPVP a conclu que xAI et X Corp. ont contrevenu au paragraphe 5(3) et à l’article 4.3 figurant au troisième principe de l’annexe 1 de la LPRPDE.
90. Par conséquent, dans le but d’amener X Corp. et xAI à se conformer à la LPRPDE, le CPVP recommande que les parties intimées :
    1. suspendent immédiatement l’offre de la fonctionnalité Grok Imagine pour tous les produits de X Corp. et xAI jusqu’à ce que les entreprises puissent démontrer au CPVP que leurs mesures de protection sont suffisantes pour empêcher la génération d’hypertrucages à caractère sexuel;
    2. élaborent et mettent en place, dans les six mois suivant la réception du présent rapport, un processus officiel visant à prévoir et à atténuer les problèmes relatifs à la protection de la vie privée (au-delà de la génération d’hypertrucages à caractère sexuel sans le consentement des individus concernés) qui sont associés aux outils de génération d’images et à d’autres nouveaux produits;
    3. fournissent au CPVP le rapport d’une vérification annuelle effectuée par un tiers indépendant et qualifié et portant sur les mesures de protection appliquées à la version autonome de Grok, au compte @Grok et à Grok sur X, notamment des statistiques sur leur efficacité, jusqu’à ce que la situation soit entièrement réglée;
    4. fournissent au CPVP, dans les six mois suivant la réception du présent rapport, des documents qui démontrent que X Corp. et xAI assurent une surveillance proactive, périodique et respectueuse de la vie privée afin de détecter la présence d’hypertrucages à caractère sexuel qui auraient été générés en contournant leurs mesures de protection, et ce, pas seulement en réponse à un incident;
    5. informent le CPVP, dans les trois mois suivant la réception du présent rapport, des progrès réalisés par rapport aux initiatives ci-dessous qui, d’après la compréhension du CPVP, sont envisagées par xAI :
       1. amélioration de son interface utilisateur, par exemple par l’ajout d’avertissements bien visibles concernant les limites potentielles et les risques que présentent les résultats fournis par les outils d’IA, afin de favoriser une utilisation éclairée de ces outils, conformément à ses engagements en matière de transparence;
       2. amélioration de ses mécanismes de production de rapports et d’évaluations (notamment en élargissant les vérifications, les EFVP et les évaluations avant lancement).

Réponse aux recommandations

91. En réponse à nos conclusions préliminaires et à nos recommandations, les parties intimées ont exprimé leur désaccord avec nos conclusions.
92. Plus précisément, elles ont déclaré que le MESE et les IINC n’avaient pas leur place sur la plateforme X ni sur la version autonome de Grok et ont affirmé qu’elles prenaient toutes les mesures raisonnables nécessaires pour empêcher leur apparition et qu’elles agissaient immédiatement dès que de tels contenus étaient portés à leur connaissance.
93. Elles ont également décrit les mesures supplémentaires qu’elles ont récemment mises en place afin d’empêcher davantage Grok de générer des contenus non conformes.
94. Plus particulièrement, xAI a indiqué qu’elle a :
    1. mis en place des mesures de protection techniques nouvelles et améliorées, notamment pour mieux repérer et rejeter les demandes des utilisateurs visant à retirer ou à modifier les vêtements, mettre à jour sa surveillance en temps réel et mieux détecter les images représentant des mineurs;
    2. retiré la fonctionnalité de génération d’images et de vidéos pour les abonnés non payants de la version autonome de Grok dans l’onglet Imagine de la plateforme, et limité la quantité de contenu qui peut être généré par les abonnés non payants dans l’onglet de clavardage de la version autonome de Grok^{Note de bas de page 22};
    3. commencé à effectuer d’autres vérifications proactives des sites de médias sociaux afin de détecter et de retirer le contenu qui pourrait enfreindre ses politiques de modération (ce qui est en accord avec la recommandation énoncée au paragraphe 90(d));
    4. commencé à mettre au point et à tester une solution plus sophistiquée qui tiendrait compte du contexte des requêtes soumises par les utilisateurs afin de mieux détecter les contenus non conformes.
95. X Corp. a en outre indiqué qu’elle avait supprimé les contenus contrevenants et illégaux de la plateforme X, et qu’elle avait procédé à des contrôles proactifs supplémentaires sur cette plateforme afin de détecter les contenus potentiellement contrevenants.
96. Dans ces circonstances, les parties intimées ont indiqué que la suspension des activités de Grok Imagine (comme il est recommandé au paragraphe 90(a)) n’était pas justifiée.
97. Le CPVP reconnaît que les parties intimées ont désormais mis en place, ou sont en train de mettre en place, des mesures de protection visant à réduire le risque que leur outil soit utilisé à mauvais escient pour produire des hypertrucages à caractère sexuel.
98. Bien que cela soit encourageant, le CPVP souligne que les parties intimées n’ont, à ce jour, pas démontré l’efficacité de ces mesures de protection pour prévenir et atténuer ce problème. Au contraire, les parties intimées ont fait valoir que la mise en place de ces mesures de protection « améliorera la capacité de xAI à détecter et à traiter tout problème que des acteurs malveillants pourraient exploiter pour contourner les mesures de protection de Grok et enfreindre les politiques de xAI » et « vise à améliorer continuellement sa capacité de prévention au fil du temps ». [traduction] [caractères gras ajoutés]
99. Dans ces circonstances, au moment de la rédaction du présent rapport, le CPVP ne peut conclure que la plainte est résolue.
100. Cela dit, les parties intimées ont confirmé qu’elles continueraient à collaborer avec le CPVP afin de résoudre les préoccupations persistantes et se sont engagées à mettre en œuvre les recommandations énoncées aux paragraphes 90(b), (c), (d) et (e).
101. Par ailleurs, en ce qui concerne la recommandation énoncée au paragraphe 90(b), les parties intimées ont indiqué qu’elles avaient mis en place des processus formels visant à prévoir et à atténuer les problèmes relatifs à la protection de la vie privée (au-delà de la génération d’hypertrucages à caractère sexuel sans le consentement des individus concernés) qui sont associés aux outils de génération d’images et à d’autres nouveaux produits, mais qu’étant donné que ces processus seraient affinés, elles feraient le point sur leur élaboration et leur mise en place dans six mois.
102. Enfin, les parties intimées se sont engagées à fournir au CPVP des rapports trimestriels afin d’expliquer et de démontrer, à l’aide de documents détaillés et de preuves à l’appui (y compris des statistiques et des indicateurs) : (i) les mesures précises qu’elles ont mises en place pour améliorer l’efficacité de leurs mesures de protection; (ii) l’efficacité des mécanismes qu’elles ont mis en place pour examiner et supprimer les contenus non conformes et pour traiter les signalements et les plaintes; et (iii) les progrès réalisés en vue de se conformer aux autres recommandations.

Conclusion

103. Compte tenu de ce qui précède, le CPVP considère que la plainte est fondée.
104. Bien que le CPVP soit encouragé par les engagements que les parties intimées ont pris, nous continuerons de surveiller la mise en œuvre de ces engagements afin de nous assurer que les problèmes graves mis en lumière dans le présent rapport sont pleinement réglés.