Une action collective déposée le 13 mai à la cour fédérale de Californie allègue qu'OpenAI a partagé requêtes de chat, courriels et user IDs avec Meta et Google via les outils de pistage Meta Pixel et Google Analytics, sans obtenir le consentement éclairé que la loi californienne sur l'écoute illégale exige. L'avocat Robert Freund est sur la plainte. Le mémoire invoque le California Invasion of Privacy Act (CIPA) et le Electronic Communications Privacy Act fédéral. OpenAI n'a pas commenté immédiatement. C'est le stade d'allégation — rien n'est jugé — mais le mécanisme nommé est concret et vaut la peine d'être compris.
Le pattern technique allégué est l'embed ad-tech standard : scripts Meta Pixel et Google Analytics chargés sur les pages où les utilisateurs soumettent des données, transmettant une charge utile à Meta et Google pour l'attribution publicitaire. Le même pattern a produit un dossier CIPA grandissant contre les portails de santé et applications consommateurs depuis 2023. La question technique non résolue — celle qui décide la poursuite — c'est ce qui a réellement transité par les traceurs. Si la charge utile était métadonnées de page, URLs et clics, c'est de l'analytics web standard qui a survécu à la plupart des défis CIPA. Si des corps de messages chat, prompts ou contenus de courriels ont transité par les appels pixel, c'est la lecture wiretap que les plaignants poussent. La plainte affirme la seconde ; la découverte décidera.
Le crochet légal ici est spécifique à la Californie : CIPA est un statut à consentement bipartite, et la doctrine qui a fait le dommage dans les affaires Pixel traite le traceur tiers comme une « non-partie à la communication » plutôt qu'une extension fournisseur-de-service du site web. La politique de confidentialité d'OpenAI divulgue bien qu'elle « collecte, stocke et partage » les entrées consommateurs et les informations personnelles — la prétention des plaignants est que la divulgation générale n'équivaut pas à un consentement éclairé spécifique pour acheminer le contenu de chat via l'infrastructure ad-tech de Meta et Google. Le même écart légal se trouve dans la plupart des produits IA consommateurs qui ont un site marketing, une surface chat connectée et une attribution basée pixel.
Pour les builders qui shippent de l'IA grand public : audite ce qui passe réellement dans tes traceurs. Champs de formulaire, texte de prompt, texte de réponse, query strings, IDs de conversation — chaque charge utile est une pièce potentielle dans un futur dépôt CIPA si elle contient du contenu de communication plutôt que des métadonnées de navigation. La divulgation générique de politique de confidentialité a perdu sur cette question. Le server-side tagging qui strip le contenu avant qu'il atteigne Meta ou Google est la réponse architecturale vers laquelle certaines équipes ont migré ; les bannières de consentement qui nomment spécifiquement les traceurs tiers sont la réponse légale d'autres. Attends-toi à plus de ces dépôts contre les produits IA majeurs cette année — OpenAI est le premier gros nom IA-native à entrer dans une lignée de litige qui frappait jusqu'ici hôpitaux, détaillants et apps de télésanté.