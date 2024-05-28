Le projet de règlements de la loi CCPA sur l’IA comporte trois grandes exigences. Les entreprises qui utilisent l’ADMT concernée doivent informer les consommateurs avant toute utilisation, leur offrir la possibilité de refuser l’ADMT et leur expliquer en quoi son utilisation par l’entreprise les concerne.

Bien que la CPPA ait révisé les règlements une fois et soit susceptible de le faire à nouveau avant que les règles ne soient officiellement adoptées, ces exigences fondamentales figurent dans chaque projet jusqu’à présent. Leur présence persistante suggère qu’elles resteront dans les règles finales, même en cas de modification des détails de leur mise en œuvre.

Avis préalables à l’utilisation

Avant d’utiliser l’ADMT à l’une des fins prévues, les entreprises doivent fournir aux consommateurs un avis préalable à l’utilisation, clair et bien visible. Cet avis doit décrire en termes simples comment elles utilisent l’ADMT et leur expliquer leurs droits d’accès à plus d’informations sur l’ADMT et de refus de ce processus.

Elles ne peuvent pas se contenter d’utiliser des termes génériques pour décrire leur utilisation de l’ADMT, tels que « Nous utilisons des outils automatisés pour améliorer nos services ». Elles doivent au contraire décrire l’utilisation spécifique qui en est faite.

L’avis doit diriger les consommateurs vers des informations supplémentaires sur le fonctionnement de l’ADMT, notamment la logique de l’outil et la manière dont les entreprises utilisent ses résultats. Ces informations ne doivent pas nécessairement figurer dans le corps de l’avis. Les entreprises peuvent fournir aux consommateurs un lien hypertexte ou un autre moyen d’y accéder.

Si les entreprises permettent aux consommateurs de contester les décisions automatisées, l’avis préalable à l’utilisation doit expliquer la procédure de contestation.

Droits de refus

Les consommateurs ont le droit de refuser la plupart des utilisations de l’ADMT concernées. Les entreprises doivent faciliter l’exercice de ce droit en leur offrant au moins deux moyens de soumettre leur demande de refus.

Au moins l’un des moyens de refus doit utiliser le même canal que celui par lequel l’entreprise interagit habituellement avec les consommateurs. Par exemple, un détaillant en ligne peut mettre à disposition un formulaire Web à remplir.

Les méthodes de refus doivent être simples et ne peuvent comporter d’étapes superflues, comme l’obligation pour les utilisateurs de créer un compte.

Dès réception d’une demande de refus, les entreprises doivent cesser de traiter les informations personnelles des consommateurs à l’aide de cette technologie de prise de décision automatisée dans un délai de 15 jours. Elles ne peuvent plus utiliser les données des consommateurs qu’elles ont précédemment traitées. Elles doivent également informer tous les prestataires de services ou tiers avec lesquels elles ont partagé les données des utilisateurs.

Exemptions

Les entreprises ne sont pas tenues de permettre aux consommateurs de refuser l’utilisation de l’ADMT à des fins de sûreté, de sécurité et de prévention de la fraude. Le projet de règlements mentionne spécifiquement l’utilisation de l’ADMT pour détecter et répondre aux incidents liés à la sécurité des données, prévenir et poursuivre les actes frauduleux et illégaux, et garantir la sécurité physique des personnes physiques.

En vertu de l’exception relative à la contestation humaine, une entreprise n’est pas tenue de permettre le refus si elle autorise les personnes concernées à contester les décisions automatisées auprès d’un examinateur humain qualifié ayant le pouvoir de renverser ces décisions.

Les entreprises peuvent également renoncer au refus pour certaines utilisations limitées de l’ADMT dans le contexte professionnel et scolaire. Ces utilisations comprennent :

L’évaluation des performances d’une personne afin de prendre des décisions d’admission, d’acceptation et d’embauche.

La répartition des tâches et la détermination de la rémunération au travail.

Le profilage utilisé uniquement pour évaluer les performances d’une personne en tant qu’élève ou employé.

Toutefois, ces utilisations dans le cadre professionnel et scolaire sont exemptées de la possibilité de refus uniquement si elles répondent aux critères suivants :

L’ADMT en question doit être nécessaire pour atteindre l’objectif spécifique de l’entreprise et être utilisé uniquement à cette fin.

L’entreprise doit évaluer formellement l’ADMT afin de s’assurer qu’elle est précise et non discriminatoire.

L’entreprise doit mettre en place des mesures de protection afin de garantir que l’ADMT reste précise et impartiale.

Aucune de ces exemptions ne s’applique à la publicité comportementale ou à l’entraînement de l’ADMT. Les consommateurs peuvent toujours refuser ces utilisations.

Le droit d’accéder aux informations relatives à l’utilisation de l’ADMT

Les consommateurs ont le droit d’accéder aux informations relatives à la manière dont les entreprises utilisent l’ADMT à leur sujet. Ces dernières doivent leur fournir un moyen simple de demander ces informations.

En réponse aux demandes d’accès, elles doivent fournir des précisions telles que la raison de l’utilisation de l’ADMT, les résultats de l’ADMT concernant le consommateur et une description de la manière dont ces résultats ont été utilisés pour prendre une décision.

Les réponses aux demandes d’accès doivent également inclure des informations sur la manière dont le consommateur peut exercer ses droits en vertu de la loi CCPA, par exemple en déposant une réclamation ou en demandant la suppression de ses données.

Notification des décisions défavorables importantes

Si une entreprise utilise l’ADMT pour prendre une décision importante qui affecte négativement un consommateur, par exemple entraîner son licenciement, elle doit envoyer une notification spéciale au consommateur concernant ses droits d’accès à cette décision.

L’avis doit inclure :

Une explication indiquant que l’entreprise a utilisé l’ADMT pour prendre une décision défavorable.

Une notification indiquant que l’entreprise ne peut exercer de mesures de rétorsion à l’encontre du consommateur pour avoir exercé ses droits en vertu de la loi CCPA.

Une description de la manière dont le consommateur peut accéder à des informations supplémentaires sur l’utilisation de l’ADMT.