La Californie fait progresser la réglementation en matière d’IA et d’autres problèmes de cybersécurité
La Californie continue de dépasser les autres États en matière d’élaboration et de mise en œuvre de réglementations en matière de confidentialité et de cybersécurité. Les dernières preuves proviennent de la récente publication d’un projet de réglementation par la California Privacy Protection Agency (CPPA), l’organisme de réglementation californien de la protection de la vie privée des consommateurs, et d’une longue audience qui a suivi le 8 décembre 2023. La CPPA a fourni un premier projet de réglementation très attendu relatif à l’intelligence artificielle (IA) ainsi que les récentes révisions de ses propositions de réglementation en matière d’audit de cybersécurité et d’évaluation des risques.
Voici quelques points clés à retenir :
Règlements AI/ADT
Le California Consumer Privacy Act (CCPA) vise à réglementer l’IA, définie comme une technologie de prise de décision automatisée (ADT). Les réglementations définissent ADT comme tout système, logiciel ou processus, y compris celui dérivé de l’apprentissage automatique, des statistiques ou d’autres traitements de données ou IA, qui traite des informations personnelles et utilise le calcul dans son ensemble ou une partie d’un système pour prendre ou exécuter une décision ou faciliter prise de décision humaine.
ADT inclut le profilage, qui est défini comme toute forme de traitement automatisé d’informations personnelles pour évaluer certains aspects personnels relatifs à une personne physique et notamment pour analyser ou prédire des aspects concernant les performances de la personne physique au travail, la situation économique, la santé, les préférences personnelles, intérêts, fiabilité, comportement, emplacement ou mouvements.
Le conseil d’administration de l’ACPP a exprimé ses inquiétudes quant à la portée large des définitions de l’ADT et du profilage et aimerait voir des tentatives visant à limiter les deux.
Le projet de règlement suggère que les seuils relatifs aux exigences en matière de préavis, de retrait et d’accès seraient déterminés par les utilisations suivantes du TAD :
- Décision qui produit des effets juridiques ou d’importance similaire concernant un consommateur ;
- Profilage d’un consommateur qui agit en sa qualité d’employé, d’entrepreneur indépendant, de demandeur d’emploi ou d’étudiant ;
- Profilage d’un consommateur alors qu’il se trouve dans un lieu accessible au public ;
- Profilage d’un consommateur pour la publicité comportementale (avec opt-in pour les consommateurs de moins de 16 ans) ;
- Profilage d’un consommateur dont l’entreprise sait réellement qu’il est âgé de moins de 16 ans ; et
- Traitement des informations personnelles des consommateurs pour former ADT.
Certaines exceptions aux droits de désinscription et d’accès telles que la sécurité, la prévention de la fraude, la sûreté ou aucune méthode alternative raisonnable de traitement ont été proposées. Quant au dernier sur la liste, le conseil d’administration de l’ACPP a exprimé le désir de limiter cette exception, telle qu’elle est actuellement proposée, à l’avenir.
Le projet de cadre permet également actuellement aux employés de se retirer, mais certains membres du conseil d’administration ne sont pas d’accord avec cela.
Règlement sur l’audit de cybersécurité
Le sous-comité est encore en train de déterminer la combinaison de seuils pour les audits de cybersécurité, mais propose un seuil de revenus annuels de 25 millions de dollars ainsi que la quantité de renseignements personnels traités. La réglementation fixe actuellement le seuil (pour que les entreprises couvertes soient tenues de mener des audits de cybersécurité) à :
- Traiter les informations personnelles d’au moins 250 000 consommateurs au cours de l’année civile précédente ;
- Traiter les informations personnelles sensibles d’au moins 50 000 consommateurs au cours de l’année civile précédente ; ou
- Traitement des informations personnelles de 50 000 consommateurs ou plus dont l’entreprise savait qu’ils étaient âgés de moins de 16 ans au cours de l’année civile précédente.
La portée de l’audit de cybersécurité est vaste, susceptible d’être coûteuse, et ne se limite pas à un simple exercice de cocher des cases pour les entreprises couvertes. Les entreprises peuvent être tenues d’évaluer les impacts négatifs associés à l’accès non autorisé et à la divulgation d’informations personnelles, tels que les dommages économiques, physiques, psychologiques et à la réputation des consommateurs. Ce sera probablement l’une des priorités du prochain projet de règlement du sous-comité.
Évaluations des risques
Les entreprises couvertes devront également procéder à des évaluations des risques chaque fois que leur traitement des informations personnelles d’un consommateur présente un risque important pour la vie privée de ce dernier. La réglementation proposée répertorie (1) la vente ou le partage d’informations personnelles et (2) le traitement d’informations personnelles sensibles (à l’exception des données des employés/RH) comme des activités présentant des risques importants. Ils qualifient également les activités suivantes utilisant ADT, ou pour former ADT, de risques importants pour la vie privée des consommateurs :
- Les décisions qui produisent des effets juridiques ou d’importance similaire concernant un consommateur ;
- Profilage d’un consommateur agissant en tant qu’employé, entrepreneur indépendant, demandeur d’emploi ou étudiant ;
- Profilage pour la publicité comportementale ;
- Établir l’identité individuelle sur la base d’informations biométriques ;
- Détection du visage, de la parole ou des émotions ;
- Générer des contrefaçons profondes ;
- Profilage des consommateurs lorsqu’ils se trouvent dans un lieu accessible au public ; ou
- Fonctionnement de modèles génératifs.
Le règlement proposé exige actuellement que les entreprises soumettent leur première évaluation des risques 24 mois après la date d’entrée en vigueur du règlement. Le conseil d’administration de l’ACPP a exprimé le désir de réduire le délai imparti aux entreprises pour commencer à effectuer et à mettre à jour leurs évaluations initiales des risques. Après la première soumission, une entreprise fera des soumissions similaires chaque année.
Le règlement proposé permet également au conseil d’administration de l’ACPP de demander des évaluations des risques, qui doivent être soumises dans un délai de cinq jours ouvrables. Certains membres du conseil d’administration se sont dits préoccupés par le fait que le délai de soumission était trop court. Le conseil d’administration de l’ACPP a également demandé que le sous-comité ajoute le procureur général comme autre partie pouvant demander des évaluations des risques. De plus, le conseil d’administration de la CPPA souhaitait que le sous-comité envisage d’exiger que les entreprises envoient un avis à la CPPA lorsqu’elles modifient leurs techniques, leur processus de conformité et/ou leur stratégie.
Le conseil d’administration de la CPPA a enfin discuté de la possibilité d’ajouter une section destinée aux entreprises déjà conformes au Règlement général sur la protection des données (RGPD), qui définirait les exigences supplémentaires nécessaires pour se conformer aux futures réglementations californiennes en matière d’évaluation des risques.
Conclusion
Le conseil d’administration de l’ACPP a approuvé le règlement proposé en matière d’audit de cybersécurité afin de procéder à une élaboration de règles formelles, dans le cadre de laquelle le sous-comité rationalisera et nettoiera le langage avant de revenir au conseil pour examen une dernière fois avant d’être disponible pour les commentaires du public. En ce qui concerne l’évaluation des risques et les règlements sur l’ADT, l’ACPP a demandé au sous-comité de continuer à travailler sur une nouvelle ébauche à soumettre au conseil d’administration. Les membres du conseil d’administration ont émis l’hypothèse que les réglementations en matière d’audit de cybersécurité pourraient être prêtes pour un ensemble de règles finales d’ici le deuxième ou le troisième trimestre 2024.