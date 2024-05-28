En novembre 2023, l’Agence californienne de protection de la vie privée (« California Privacy Protection Agency » ou « CPPA ») a publié un projet de règlements sur l’utilisation de l’intelligence artificielle (IA) et de la technologie de prise de décision automatisée (ADMT).
Les règles proposées sont encore en cours d’élaboration, mais les entreprises auraient tout intérêt à suivre de près leur évolution. L’État californien abritant bon nombre des plus grandes entreprises technologiques mondiales, tout règlement en matière d’IA adopté par la Californie pourrait avoir un impact bien au-delà de ses frontières.
De plus, une cour d’appel californienne a récemment statué que la CPPA pouvait appliquer les règles dès leur finalisation. En suivant l’évolution des règles relatives à l’ADMT, les entreprises peuvent mieux se positionner pour se conformer dès l’entrée en vigueur des règlements.
La CPPA accepte toujours les commentaires du public et continue d’examiner les règles, de sorte que les règlements sont susceptibles de changer avant leur adoption officielle. Cet article est basé sur le projet le plus récent en date du 9 avril 2024.
La California Consumer Privacy Act (CCPA), loi californienne historique sur la confidentialité des données, ne traitait pas directement de l’utilisation de l’ADMT à l’origine. Cela a changé avec l’adoption de la loi California Privacy Rights Act (CPRA) en 2020, qui a modifié la loi CCPA de plusieurs manières importantes.
La CPRA a créé la CPPA, un organisme de réglementation chargé de mettre en œuvre et de faire respecter les règles prévues par la loi CCPA. La loi CPRA a également donné à la CPPA le pouvoir de publier des règlements concernant les droits des consommateurs californiens d’accéder aux informations relatives aux décisions automatisées et de s’y opposer. L’agence travaille actuellement à l’élaboration de règles relatives à l’ADMT en vertu de ce pouvoir.
Comme pour le reste de la loi CCPA, le projet de règlements s’appliquerait aux organisations à but lucratif qui exercent leurs activités en Californie et qui répondent à au moins l’un des critères suivants :
En outre, les règlements proposés ne s’appliqueraient qu’à certaines utilisations de l’IA et de l’ADMT : prise de décisions importantes, profilage étendu des consommateurs et entraînement des outils ADMT.
Le projet actuel définit la technologie de prise de décision automatisée comme tout logiciel ou programme qui traite des données personnelles et utilise des calculs pour exécuter une décision, remplacer la prise de décision humaine ou faciliter considérablement la prise de décision humaine. Il précise que cette définition inclut les logiciels et programmes « dérivés du machine learning, des statistiques, d’autres techniques de traitement des données ou de l’intelligence artificielle ».
Le projet de règlements cite explicitement certains outils qui ne sont pas considérés comme de l’ADMT, notamment les filtres anti-spam, les feuilles de calcul et les pare-feux. Toutefois, si une entreprise tente d’utiliser ces outils exemptés pour prendre des décisions automatisées de manière à contourner les règlements, les règles s’appliqueront à cette utilisation.
Le projet de règlements s’appliquerait à toute utilisation de l’ADMT pour prendre des décisions ayant des effets importants sur les consommateurs. D’une manière générale, une décision importante affecte les droits d’une personne ou son accès à des biens, services et opportunités essentiels.
Par exemple, le projet de règlements couvrirait les décisions automatisées qui ont une incidence sur la capacité d’une personne à obtenir un emploi, à accéder à un établissement scolaire, à bénéficier de soins de santé ou à obtenir un prêt.
Le profilage consiste à traiter automatiquement les informations personnelles d’un individu afin d’évaluer, d’analyser ou de prédire ses traits et caractéristiques, tels que ses performances professionnelles, ses intérêts en matière de produits ou son comportement.
Le « profilage étendu » désigne certains types de profilage :
Le projet de règlements s’appliquerait à l’utilisation par les entreprises des données personnelles des consommateurs pour entraîner certains outils ADMT. Plus précisément, il couvrirait l’entraînement d’une ADMT pouvant être utilisée pour prendre des décisions importantes, identifier des personnes, générer des deepfakes ou effectuer une identification et un profilage physiques ou biologiques.
En tant que loi californienne, les protections des consommateurs prévues par la loi CCPA s’appliquent uniquement aux consommateurs résidant en Californie. Il en va de même pour les protections accordées par le projet de règlements ADMT.
Cela dit, ces règles définissent le terme « consommateur » de manière plus large que de nombreux autres règlements en matière de confidentialité des données. Outre les personnes qui interagissent avec une entreprise, les règles couvrent les employés, les élèves, les entrepreneurs indépendants et les candidats à un emploi ou à une formation.
Le projet de règlements de la loi CCPA sur l’IA comporte trois grandes exigences. Les entreprises qui utilisent l’ADMT concernée doivent informer les consommateurs avant toute utilisation, leur offrir la possibilité de refuser l’ADMT et leur expliquer en quoi son utilisation par l’entreprise les concerne.
Bien que la CPPA ait révisé les règlements une fois et soit susceptible de le faire à nouveau avant que les règles ne soient officiellement adoptées, ces exigences fondamentales figurent dans chaque projet jusqu’à présent. Leur présence persistante suggère qu’elles resteront dans les règles finales, même en cas de modification des détails de leur mise en œuvre.
Avant d’utiliser l’ADMT à l’une des fins prévues, les entreprises doivent fournir aux consommateurs un avis préalable à l’utilisation, clair et bien visible. Cet avis doit décrire en termes simples comment elles utilisent l’ADMT et leur expliquer leurs droits d’accès à plus d’informations sur l’ADMT et de refus de ce processus.
Elles ne peuvent pas se contenter d’utiliser des termes génériques pour décrire leur utilisation de l’ADMT, tels que « Nous utilisons des outils automatisés pour améliorer nos services ». Elles doivent au contraire décrire l’utilisation spécifique qui en est faite.
L’avis doit diriger les consommateurs vers des informations supplémentaires sur le fonctionnement de l’ADMT, notamment la logique de l’outil et la manière dont les entreprises utilisent ses résultats. Ces informations ne doivent pas nécessairement figurer dans le corps de l’avis. Les entreprises peuvent fournir aux consommateurs un lien hypertexte ou un autre moyen d’y accéder.
Si les entreprises permettent aux consommateurs de contester les décisions automatisées, l’avis préalable à l’utilisation doit expliquer la procédure de contestation.
Les consommateurs ont le droit de refuser la plupart des utilisations de l’ADMT concernées. Les entreprises doivent faciliter l’exercice de ce droit en leur offrant au moins deux moyens de soumettre leur demande de refus.
Au moins l’un des moyens de refus doit utiliser le même canal que celui par lequel l’entreprise interagit habituellement avec les consommateurs. Par exemple, un détaillant en ligne peut mettre à disposition un formulaire Web à remplir.
Les méthodes de refus doivent être simples et ne peuvent comporter d’étapes superflues, comme l’obligation pour les utilisateurs de créer un compte.
Dès réception d’une demande de refus, les entreprises doivent cesser de traiter les informations personnelles des consommateurs à l’aide de cette technologie de prise de décision automatisée dans un délai de 15 jours. Elles ne peuvent plus utiliser les données des consommateurs qu’elles ont précédemment traitées. Elles doivent également informer tous les prestataires de services ou tiers avec lesquels elles ont partagé les données des utilisateurs.
Les entreprises ne sont pas tenues de permettre aux consommateurs de refuser l’utilisation de l’ADMT à des fins de sûreté, de sécurité et de prévention de la fraude. Le projet de règlements mentionne spécifiquement l’utilisation de l’ADMT pour détecter et répondre aux incidents liés à la sécurité des données, prévenir et poursuivre les actes frauduleux et illégaux, et garantir la sécurité physique des personnes physiques.
En vertu de l’exception relative à la contestation humaine, une entreprise n’est pas tenue de permettre le refus si elle autorise les personnes concernées à contester les décisions automatisées auprès d’un examinateur humain qualifié ayant le pouvoir de renverser ces décisions.
Les entreprises peuvent également renoncer au refus pour certaines utilisations limitées de l’ADMT dans le contexte professionnel et scolaire. Ces utilisations comprennent :
Toutefois, ces utilisations dans le cadre professionnel et scolaire sont exemptées de la possibilité de refus uniquement si elles répondent aux critères suivants :
Aucune de ces exemptions ne s’applique à la publicité comportementale ou à l’entraînement de l’ADMT. Les consommateurs peuvent toujours refuser ces utilisations.
Les consommateurs ont le droit d’accéder aux informations relatives à la manière dont les entreprises utilisent l’ADMT à leur sujet. Ces dernières doivent leur fournir un moyen simple de demander ces informations.
En réponse aux demandes d’accès, elles doivent fournir des précisions telles que la raison de l’utilisation de l’ADMT, les résultats de l’ADMT concernant le consommateur et une description de la manière dont ces résultats ont été utilisés pour prendre une décision.
Les réponses aux demandes d’accès doivent également inclure des informations sur la manière dont le consommateur peut exercer ses droits en vertu de la loi CCPA, par exemple en déposant une réclamation ou en demandant la suppression de ses données.
Si une entreprise utilise l’ADMT pour prendre une décision importante qui affecte négativement un consommateur, par exemple entraîner son licenciement, elle doit envoyer une notification spéciale au consommateur concernant ses droits d’accès à cette décision.
L’avis doit inclure :
La CPPA élabore actuellement un projet de règlements sur l’évaluation des risques parallèlement aux règles proposées sur l’IA et l’ADMT. Bien qu’il s’agisse techniquement de deux ensembles de règles distincts, les règlements sur l’évaluation des risques auraient une incidence sur la manière dont les entreprises utilisent l’IA et l’ADMT.
Les règles d’évaluation des risques exigeraient aux entreprises qu’elles procèdent à une évaluation avant d’utiliser l’ADMT pour prendre des décisions importantes ou effectuer un profilage étendu. Les entreprises devraient également procéder à une évaluation des risques avant d’utiliser des informations personnelles pour entraîner certains modèles ADMT ou d’IA.
L’évaluation doit identifier les risques que l’ADMT présente pour les consommateurs, les avantages potentiels pour l’entreprise ou d’autres parties prenantes, et les mesures de protection permettant d’atténuer ou d’éliminer le risque. Les entreprises doivent s’abstenir d’utiliser l’IA et l’ADMT lorsque les risques l’emportent sur les avantages.
Le projet de règlements californien sur l’ADMT est loin d’être la première tentative de réglementation de l’utilisation de l’IA et des décisions automatisées.
La loi européenne sur l’intelligence artificielle impose des exigences strictes en matière de développement et d’utilisation de l’IA en Europe.
Aux États-Unis, la loi Colorado Privacy Act et la loi Virginia Consumer Data Protection Act donnent toutes deux aux consommateurs le droit de refuser que leurs informations personnelles soient traitées pour prendre des décisions importantes.
Au niveau national, le président Biden a signé en octobre 2023 un décret ordonnant aux agences et départements fédéraux de créer des normes pour le développement, l’utilisation et la supervision de l’IA dans leurs juridictions respectives.
Mais les règlements ADMT proposés par la Californie attirent davantage l’attention que les lois d’autres États, car ils peuvent potentiellement influencer le comportement des entreprises au-delà des frontières de l’État.
Une grande partie de l’industrie technologique mondiale a son siège en Californie, de sorte que bon nombre des entreprises qui fabriquent les outils de prise de décision automatisés les plus avancés devront se conformer à ces règles. Les protections dont bénéficient les consommateurs s’appliquent uniquement aux résidents de Californie, mais les entreprises pourraient offrir les mêmes options aux consommateurs hors de Californie, par souci de simplicité.
La loi CCPA originale est souvent considérée comme la version américaine du règlement général sur la protection des données (RGPD), car elle a relevé le niveau des pratiques en matière de confidentialité des données à l’échelle nationale. Ces nouvelles règles relatives à l’IA et à l’ADMT pourraient produire des résultats similaires.
Les règles ne sont pas encore finalisées, il est donc impossible de se prononcer avec certitude. Cela dit, de nombreux observateurs estiment que celles-ci n’entreront pas en vigueur avant mi-2025 au plus tôt.
La CPPA devrait tenir une autre réunion du conseil d’administration en juillet 2024 afin de discuter plus en détail de ces règles. Beaucoup pensent que celui-ci devrait entamer le processus officiel d’élaboration des règles à cette occasion. Si tel est le cas, l’agence disposerait d’un an pour les finaliser, d’où la date d’entrée en vigueur estimée à mi-2025.
Comme pour les autres parties de la loi CCPA, la CPPA sera habilitée à enquêter sur les violations et à infliger des amendes aux entreprises. Le procureur général de Californie pourra également imposer des sanctions civiles en cas de non-respect.
Les entreprises pourront se voir infliger une amende de 2 500 dollars pour les violations involontaires et de 7 500 dollars pour les violations intentionnelles. Ces montants s’appliqueront à chaque violation, et chaque consommateur concerné comptera pour une violation. Les sanctions pourront rapidement s’alourdir lorsque les violations concernent plusieurs consommateurs, comme c’est souvent le cas.
Le projet de règlements est encore en cours d’élaboration. La CPPA continue de solliciter les commentaires du public et d’organiser des discussions au sein de son conseil d’administration, et les règles sont encore susceptibles d’évoluer avant d’être adoptées.
La CPPA leur a déjà apporté des modifications importantes sur la base des commentaires reçus précédemment. Par exemple, à la suite de la réunion du conseil d’administration de décembre 2023, l’agence a ajouté de nouvelles exemptions au droit de refus et a imposé des restrictions au profilage physique et biologique.
Elle a également ajusté la définition de l’ADMT afin de limiter le nombre d’outils auxquels les règles s’appliqueraient. Alors que le projet initial incluait toute technologie facilitant la prise de décision humaine, le projet le plus récent s’applique uniquement à l’ADMT qui facilite considérablement la prise de décision humaine.
De nombreux groupes industriels estiment que la nouvelle définition reflète mieux les réalités pratiques de l’utilisation de l’ADMT, tandis que les défenseurs de la vie privée craignent qu’elle ne crée des failles exploitables.
Même le conseil d’administration de la CPPA est divisé sur la forme que devraient prendre les règles finales. Lors d’une réunion en mars 2024, deux membres du conseil ont exprimé leur inquiétude quant au fait que le projet actuel dépasse les compétences du conseil.
Compte tenu de l’évolution des règles jusqu’à présent, les exigences fondamentales en matière de notification préalable à l’utilisation, de droits de refus et de droits d’accès ont de fortes chances de rester inchangées. Cependant, les entreprises peuvent se poser les questions suivantes :
Quelle que soit l’issue, ces règles auront des implications importantes sur la manière dont l’IA et l’automatisation seront réglementées à l’échelle nationale, ainsi que sur la manière dont les consommateurs seront protégés face à cette technologie en plein essor.
Clause d’exclusion de responsabilité : le client est tenu de respecter l’ensemble des lois et des réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.