← Souveraineté IA Fiche outil Mai 2026

ChatGPT — anatomie juridictionnelle

Vous utilisez ChatGPT depuis l'Europe. Mais qui contracte vraiment avec vous, qui détient le contrôle juridique ultime, où passent vos données, et quelles lois étrangères peuvent les atteindre ? Cette fiche déplie la chaîne complète, sourcée pièce par pièce sur des documents officiels.

Tier rouge — dépendance US complète

0 / 10 — souveraineté

Juridiction parent US (Delaware), entité contractante EEA cosmétique (Ireland), infrastructure 100 % cloud US (4 providers : Azure, AWS, Google Cloud, Oracle/Stargate), transferts EEA→US sous SCCs intra-groupe, entraînement par défaut sur données consumer.

01 — Identité juridique

Qui contracte avec vous, qui contrôle réellement

Le décalage entre l'entité signataire des conditions et l'entité qui détient le contrôle ultime est un signal souveraineté de premier plan. Pour ChatGPT, le contrat passe par l'Irlande mais la donnée passe par les États-Unis.

Vous, depuis l'UE Utilisateur EEA / Suisse Sujet RGPD

Entité contractante OpenAI Ireland Ltd. Limited Company · Data Controller for EEA and Swiss customers IE

Entité parent — contrôle ultime OpenAI OpCo, LLC Limited Liability Company · Delaware (incorporation), California (HQ) US

Pourquoi US et pas IE : bien qu'OpenAI Ireland Ltd. signe les contrats avec les clients EEA, le contrôle ultime — capital, gouvernance, propriété intellectuelle — reste aux États-Unis. Le DPA prévoit explicitement des transferts intra-groupe vers les US sous SCCs. Le CLOUD Act (US, 2018) peut s'appliquer aux données détenues par les filiales US, y compris stockées hors US.

02 — Infrastructure

Quatre providers, une seule juridiction

L'image historique « OpenAI = Microsoft Azure » est obsolète depuis janvier 2025. OpenAI s'appuie aujourd'hui sur 4 fournisseurs cloud — tous sous juridiction américaine. La dépendance Microsoft devient une dépendance écosystème US.

primary · cloud

Microsoft Azure

US · cloud

Stateless API calls and ChatGPT consumer product hosting. Confirmé exclusivité Azure pour stateless APIs même après amendement contractuel d'octobre 2025.

Multiple US regions (Azure US East, US South Central, etc.) / EU regions used for some Azure OpenAI Service deployments (not confirmed for ChatGPT consumer)

secondary · cloud

Amazon Web Services (AWS)

US · cloud

$38B agreement (Nov 2025) extended to $138B over 8 years (April 2026). AWS = exclusive third-party cloud distribution for OpenAI Frontier (enterprise platform). Used for large-scale training and inference.

Not yet specified publicly. NVIDIA GB200/GB300 GPU clusters on Amazon EC2 UltraServers.

additional · cloud

Google Cloud

US · cloud

Deal signed June 2025. Provides access to Google TPU (Tensor Processing Units) for AI workloads. Smaller commitment than Azure or AWS.

Not specified publicly

additional · dedicated_infrastructure

Oracle Cloud Infrastructure

US · dedicated infrastructure

Stargate project: dedicated AI infrastructure with SoftBank, Oracle and others. Multi-billion USD commitment for OpenAI training capacity.

Texas (Stargate datacenters), other US sites

03 — Sous-traitants

Cinq sous-traitants confirmés

Confirmés via DPA officiel + communications publiques. La liste exhaustive (Twilio, Stripe, Sendgrid, support…) vit sur platform.openai.com/subprocessors, accessible uniquement après auth : à compléter en navigateur connecté.

cloud_hosting
Microsoft Corporation (Azure)
Cloud infrastructure (compute, storage, networking)

US
cloud_hosting
Amazon Web Services, Inc.
Cloud infrastructure (training and inference)

US
cloud_hosting
Google LLC (Google Cloud)
Cloud infrastructure (TPU access)

US
cloud_hosting
Oracle Corporation (Oracle Cloud Infrastructure)
Cloud infrastructure (Stargate dedicated capacity)

US
infrastructure_management
Merge API
Infrastructure management (Connectors)

US

04 — Transferts hors UE

Trois transferts, une seule destination

Tous les transferts pointent vers les États-Unis. Reposent exclusivement sur les Standard Contractual Clauses (SCCs) — pas sur le Data Privacy Framework, pourtant disponible.

Fait éditorial · Ce que la carte doit dire

OpenAI est certifiée Active au EU-US Data Privacy Framework. Pourtant son DPA n'y fait jamais référence.

Vérifié sur dataprivacyframework.gov le 2026-05-04 : OpenAI · Active · ID a2zt000000001L5AAI

Le DPA v.010126 ne cite que les SCCs comme base légale de transfert. Posture juridique délibérée : ceinture+bretelles (les SCCs survivent à une invalidation hypothétique du DPF post-Latombe), ou défiance vis-à-vis de la solidité juridique du DPF même côté entreprises certifiées.

Implication carte : les autres outils US sont aussi certifiés DPF Active (Google, Microsoft, Meta, Anthropic). Aucun ne le revendique dans son DPA actuel. Le DPF existe mais n'est pas le mécanisme de confiance opérationnel — tout repose sur les SCCs.

EEA / Switzerland (OpenAI Ireland Ltd.) → United States (OpenAI OpCo, LLC and US affiliates) intra_group_SCCs

Provision of Services. Intra-group processing of Customer Data including model inference, content moderation, abuse detection, customer support.

Section 4.1 (EEA and Swiss Data) and Section 6 (Definitions: SCCs)

United Kingdom → United States (OpenAI OpCo, LLC) SCCs

Provision of Services to UK customers. UK customers contract directly with OpenAI OpCo, LLC (US entity), unlike EEA customers who contract with OpenAI Ireland.

Section 4.2 (UK Data) and Schedule 1, Section 8 (SCCs information for UK Data)

Wherever Customer Data is initially located (EEA/UK/US/etc.) → Sub-processors (Microsoft Azure, AWS, Google Cloud, Oracle, Merge API — all US entities or US-controlled) SCCs

Cloud infrastructure, training/inference compute, infrastructure management.

Section 2.9, 2.10

05 — Lois extra-territoriales

Deux lois s'appliquent, sans contre-poids européen

Les SCCs sont contractuelles. Les lois US sont au-dessus. C'est exactement ce que la CJUE a tranché en 2020 dans l'arrêt Schrems II — et qui rend toute construction juridique US fragile face au RGPD.

applicable

US CLOUD Act (2018)

OpenAI OpCo, LLC est une entité US. Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) permet aux autorités US d'exiger la production de données détenues par des entreprises US, y compris si ces données sont stockées hors US. Cela inclut potentiellement les données traitées par OpenAI Ireland sous instruction d'OpenAI OpCo.

DPA Section 2.2 : OpenAI s'engage à informer le Customer en cas de demande légalement contraignante de divulgation par une autorité, dans la mesure permise par la loi.

potentially

FISA Section 702

Les services électroniques US sont susceptibles d'être soumis au Foreign Intelligence Surveillance Act, Section 702 (collecte de communications de personnes non-US à des fins de renseignement étranger). Argument central de l'arrêt Schrems II (CJUE, juillet 2020) qui a invalidé le Privacy Shield US.

À sourcer indépendamment via texte FISA + arrêt Schrems II + EO 14086 (Biden, oct 2022 — limites surveillance qui ont rendu DPF possible). Pas dans le DPA OpenAI lui-même. Patch v2 attendu mais non livré — laissé en l'état v1.

06 — Entraînement des modèles

Vos conversations grand public entraînent les modèles par défaut

Différence fondamentale entre l'usage grand public et l'usage business — souvent mal connue des utilisateurs Plus qui pensent payer pour un produit « privé ».

Consumer (free + paid solo) Oui par défaut

Free tier and Plus by default unless user opts out via Data Controls.

Business (Team / Enterprise / API) Non par défaut

ChatGPT Team, Enterprise, Edu, API : data not used for training by default.

Opt-out : ChatGPT consumer : Settings → Data Controls → 'Improve the model for everyone' (toggle off). Business products : opt-in only par défaut.

Méthodologie

Comment cette fiche a été sourcée

Cette fiche déplie la dépendance juridictionnelle de ChatGPT à partir de 5 sources officielles plus 6 sources secondaires de qualité. Chaque affirmation est ancrée. Pas de LLM hallucination, pas de "on dit que". Si une source ne tient pas, on la flag explicitement.

Récupération du DPA officiel OpenAI v.010126 (PDF signé) → entité légale, sub-processors, transferts, lois.
Vérification active du statut Data Privacy Framework sur dataprivacyframework.gov (2026-05-04).
Recoupement infra cloud avec annonces presse officielles (Microsoft × OpenAI partnership 2026-02, AWS deal logistics-2025-11, Google Cloud Revolgy 2025-06, Stargate Oracle TechCrunch 2025-01).
Pour chaque affirmation : `verified=true` dans `souverainete-sources.json` avec `verifiedby` (claude ou bastou) + `verifiedat` (date).
Validator `node scripts/validate-souverainete.js` bloque la publication si une source référencée n'est pas verified=true.

Sources référencées

OpenAI Data Processing Addendum v.010126 OpenAI · vérifié 2026-05-04 par claude
OpenAI Data Processing Addendum — Schedule 1 (Address of OpenAI OpCo, LLC) OpenAI · vérifié 2026-05-04 par claude
Joint Statement from OpenAI and Microsoft OpenAI / Microsoft · vérifié 2026-05-04 par claude
The next phase of the Microsoft OpenAI partnership OpenAI · vérifié 2026-05-04 par claude
OpenAI and AWS Forge $38B Alliance, Microsoft Exclusivity Ends Logistics Viewpoints · vérifié 2026-05-04 par claude
OpenAI shakes up partnership with Microsoft, capping revenue share payments CNBC · vérifié 2026-05-04 par claude
Google Cloud signs deal with OpenAI, ending Microsoft's exclusive role Revolgy · vérifié 2026-05-04 par claude
Microsoft is no longer OpenAI's exclusive cloud provider TechCrunch · vérifié 2026-05-04 par claude
OpenAI ChatGPT privacy policy: requirements for business services Usercentrics (CMP vendor, content éditorialisé) · vérifié 2026-05-04 par claude
OpenAI — Data Privacy Framework participant detail (Active) U.S. Department of Commerce / International Trade Administration · vérifié 2026-05-04 par claude
Security and privacy at OpenAI OpenAI · vérifié 2026-05-04 par claude

Fiche outil produit Tester ChatGPT en pratique→ Avis Roméo Labs, prix, score sur 5 axes (performance, facilité, RGPD, API), alternatives.