L'agence californienne de protection de la vie privée (California Privacy Protection Agency) continue à faire avancer la réglementation de l'IA. Elle a décidé de mettre à jour le California Consumer Privacy Act (CCPA). Le CCPA vise notamment à donner aux consommateurs californiens un plus grand contrôle sur leurs données personnelles. Compte tenu de l'importance croissante et de l'utilisation de systèmes d'IA dans les domaines les plus divers, le CCPA sera complété par les réglementations correspondantes. Quel est l'impact de la réglementation de l'IA sur les entreprises ?
Principales dispositions du CCPA
Le CCPA réglemente en détail la manière dont les entreprises doivent traiter les données personnelles. Parmi les dispositions les plus importantes, on trouve
- Obligation d'information et transparence :
Lorsqu'elles collectent des données, les entreprises doivent informer clairement les consommateurs du type de données collectées et de leur finalité. - Droits d'opt-out et d'opt-in :
Les consommateurs ont le droit de s'opposer à la vente ou au partage de leurs données (opt-out). Les entreprises doivent proposer sur leurs sites web un lien "Do Not Sell or Share My Personal Information" clairement visible, qui permet aux consommateurs de s'y opposer immédiatement. - Droit de suppression et de correction :
Les consommateurs peuvent demander l'effacement ou la correction de leurs données si celles-ci sont inexactes ou incomplètes. - Protection des données personnelles sensibles :
Les entreprises ne peuvent utiliser les données sensibles que dans la mesure où elles sont nécessaires à l'exécution des services et doivent obtenir un consentement si elles doivent les utiliser à d'autres fins.
L'article 9 (audits de cybersécurité) et l'article 10 (évaluations des risques) devraient être ajoutés,
Article 11 (technologie de prise de décision automatisée) et article 12 (compagnies d'assurance). La California Privacy Protection Agency a l'intention d'intégrer les nouveaux articles dans le California Consumer Privacy Act dès que possible.
Nouveau : Régulation de l'IA avec accent sur l'ADMT
Dans le cadre de la protection des données, des règles claires ont été élaborées spécialement pour l'utilisation des TDAH. La CPPA définit l'ADMT comme toute technologie qui traite des informations personnelles et qui, au moyen de calculs, prend une décision ou facilite considérablement la prise de décision. Cela va des algorithmes de recommandation à la surveillance et à l'analyse de grandes quantités de données en temps réel, en passant par le scoring dans l'octroi de crédits.
L'un des principaux défis de l'utilisation de l'IA dans les systèmes décisionnels est la transparence. Il doit être clair quelles décisions sont prises de manière automatisée et sur quelle base. Cela implique de divulguer les algorithmes et de vérifier qu'il n'y a pas de biais ou de discrimination, afin de s'assurer que les décisions sont justes et objectives.
L'utilisation de l'IA dans les systèmes décisionnels soulève également de nouveaux défis en matière de sécurité et de protection des données. Le CPPA souligne l'importance des audits de cybersécurité et des évaluations des risques afin de s'assurer que les données personnelles sont protégées lors de l'utilisation de telles technologies. En outre, la législation prévoit que les consommateurs ont le droit de remettre en question ou de refuser certains processus décisionnels automatisés.
Conseil de lecture : Le Texas veut établir de nouvelles normes en matière de réglementation de l'IA - L'innovation rencontre la responsabilité
Impact du CCPA sur les entreprises
Le CCPA demande aux entreprises de mettre en place des processus qui répondent aux exigences légales. Les conséquences potentielles sont nombreuses :
- Changements dans le traitement et le stockage des données : les entreprises doivent s'assurer que seules les données nécessaires sont collectées et utilisées. Le stockage et le traitement superflus de données peuvent être contraires à la loi.
- Exigences accrues en matière de sécurité : Les entreprises doivent prendre des mesures pour protéger les données personnelles, y compris des programmes de sécurité et de protection des données. Les informations particulièrement sensibles, telles que les données biométriques ou les données relatives à la santé, nécessitent des mesures de sécurité particulières.
- Mise en œuvre technique de fonctions d'opt-out : Le CCPA exige des entreprises qu'elles mettent à disposition des solutions techniques permettant aux consommateurs de protéger leur vie privée de manière simple et efficace. Cela inclut la mise en œuvre d'un lien "Do Not Sell or Share" et la possibilité pour les consommateurs de gérer leurs données directement sur le site web de l'entreprise.
- Révision des politiques de confidentialité : Les entreprises doivent adapter leur politique de confidentialité afin de répondre aux exigences du CCPA et de présenter les droits des consommateurs de manière transparente. La politique de confidentialité doit être facilement accessible et rédigée dans un langage clair.
- Des règles strictes pour les fournisseurs tiers et les entreprises partenaires : Les entreprises sont tenues de s'assurer que leurs prestataires de services et partenaires respectent également les exigences du CCPA. Cela signifie que les entreprises doivent mettre en place de nouveaux accords contractuels et procéder à des vérifications afin de garantir la conformité.
Le non-respect du CCPA peut avoir des conséquences financières et juridiques importantes pour les entreprises. L'autorité californienne de protection des données peut imposer des amendes aux entreprises qui ne respectent pas les exigences de la loi. Ces amendes peuvent être élevées et sont liées au nombre de consommateurs concernés et à la gravité des violations de la protection des données.
Source : California Consumer Privacy Act (projet de loi octobre 2024)