Condensé #30 - Semaine du 24 Août2022

ADPPA, un RGPD américain?

Le Royaume-Uni prépare aussi sa réglementation autour de l'intelligence artificielle

En une ligne dans le reste du monde.

Par Malik Aouadi.

Petite nouveauté, l'introduction d'une liste de lectures plus longues qui m'ont marquées récemment:

  1. Event-level prediction of urban crime reveals a signature of enforcement bias in US cities : à lire en parallèle de l'article de Mehdi Amine à trouver ici.
     

  2. In a Post-Roe World, the Future of Digital Privacy Looks Even Grimmer par le New York Times : un article assez pessimiste sur notre possibilité d'échapper à un tracking constant. Récemment, Meta l'a (une énième fois) prouvé en autorisant l'accès à la messagerie privée d'une adolescente soupçonnée d'avortement illégal. 


  3. La Belgique tient-elle (enfin) sa loi sur la conservation des données de communication ? par Droit et Technologies : sur l'équilibre très fragile entre démocratie et sécurité.

Les Etats-Unis avancent (doucement) vers une loi fédérale de protection des données

La proposition de loi fédérale américaine sur la protection de la vie privée ADPPA (American Data Privacy Protection Act) a été présentée à la Chambre des représentants des États-Unis le 3 juin 2022. C'est la première fois qu'un texte législatif d'une telle envergure sur la protection des données atteint ce stade du processus législatif.

Le texte.

Le contexte

Comme cela était déjà le cas avec le RGPD et les 28 Etats membres européens, l'objectif de la loi fédérale américaine est d'harmoniser la réglementation relative à la vie privée dans l'ensemble de ses 50 états.

Jusqu'à présent, en l'absence de telle loi, il incombait aux Etats d'adopter eux-mêmes des textes sur la protection des données. Or, seuls 5 Etats ont adoptés des lois globales en la matière: la Californie, le Connecticut, l'Utah, la Virginie et le Colorado. 

Ce projet de loi traduit également un compromis qui avait échappé aux législateurs: il contient à la fois un droit d'action (private right of action*), longuement réclamé par les défenseurs de la vie privée et des consommateurs, et une clause de préemption (preemption provision**), longuement souhaitée par les entreprises. En effet, la situation actuelle de disparité réglementaire écorche principalement les PME qui manquent de moyen pour mettre en oeuvre une stratégie de conformité uniforme. Si l'ADPPA est adoptée, elle fournira à toutes les entreprises des instructions uniformes sur la ligne de conduite à adopter. 

Le contenu

Malgré quelques différences sémantiques superficielles, le texte américain est empreint de la même essence que son homologue européen; Ainsi, certains principes phares du RGPD tels que le principe de transparence, de minimisation des données et de proportionnalité du traitement des données se retrouvent aussi dans le projet de loi.

D'autres différences plus conséquentes sont toutefois à noter: 

  • les données couvertes par l'ADPPA excluent les données des employés et les données déjà dans le domaine public;

  • le terme "individuals" (= personnes concernées) ne concerne que les citoyens américains;

  • les "covered entity" (= les responsables de traitement) ne comprennent pas les organismes fédéraux, étatiques ou gouvernementaux;

  • certaines catégories de données sensibles ne sont pas mentionnées dans le RGPD: identifiants délivrés par le gouvernement, les passeports, les permis de conduire, etc;

  • les entités couvertes et les fournisseurs de services classés comme grands détenteurs de données se verront appliquer des obligations supplémentaires, tandis que les petites et moyennes organisations seront exemptées de certaines obligations

Le projet de loi doit faire face à plusieurs obstacles

La Californie par exemple, très fière de ses lois sur la protection des données (CCPA et CPRA), craint que la loi fédérale, en suppléant les lois de son Etat, offre une protection moindre à ses habitants. Pour autant, un rapport rendu par trois ONG (disponible ici) fait valoir que les mesures de protection des consommateurs prévues par le projet de loi fédérale sont égales ou supérieures à celles de la loi californienne dans une grande majorité de domaines, de la protection des droits civils à la protection de la vie privée dès la conception et aux exigences de minimisation des données.

Malgré la volonté manifeste d'enfin établir une loi fédérale sur la protection des données, la promulgation du projet de loi est loin d'être actée. La combinaison des oppositions de la délégation californienne, le manque de soutien de quelques personnalités influentes au Sénat et l'arrivée imminente des élections de mi-mandat risquent de rendre toute progression difficile. 



*preemption provision: La clause de prééminence de la loi fédérale signifie qu'en cas de conflit de loi, la loi fédérale prévaut sur la loi étatique. Ainsi, cette clause permet de garantir l'unification de la législation sur la confidentialité des données à travers les États-Unis, ce qui permet aux entités réglementées de se conformer plus facilement à une norme unique plutôt qu'à un éventail de lois étatiques. Certaines lois étatiques sont expressément exclues de la préemption, y compris, par exemple, le Illinois Biometric Information Privacy Act (BIPA) and Genetic Information Privacy Act (GIPA). 

**privacy right to action: Le droit d'action privé se réfère à la situation où une personne ou une entité privée, par opposition à l'État, au gouvernement ou à un organisme public, a le droit de faire valoir des droits légaux en vertu de la loi. Le projet de loi prévoit que les particuliers ne peuvent intenter de procès endéans les 2 ans de sa date d'entrée en vigueur. Après ce délai, les parties privées peuvent demander "des dommages compensatoires, des mesures injonctives, des mesures déclaratoires, ainsi que des honoraires d'avocat et des frais de justice raisonnables.

Le Royaume-Uni prépare aussi sa réglementation autour de l'intelligence artificielle

Le mois dernier, le Royaume-Uni a publié la première esquisse de son futur modèle règlementaire « pro-innovation» en matière d’intelligence artificielle. À l’instar du AI Act européen, le modèle britannique propose une approche fondée sur le risque mais diffère sur sa mise en application concrète.

Divulgué près d’un an après la présentation de sa stratégie nationale en matière d’IA, ce texte fait le choix de se focaliser sur les applications à haut risque, estimant ainsi écarter toute possibilité pour l’innovation de se voir obstruée par des contrariétés bureaucratiques.

Fondamentalement, le législateur britannique s’inspire des principes trans-sectoriels établis en la matière par l’OCDE (Organisation de coopération et de développement économiques) et en énumère six fondamentaux :

  1. S'assurer que l'IA est utilisée en toute sécurité.

  2. S'assurer que l'IA est techniquement sûre et fonctionne comme prévu.

  3. S'assurer que l'IA est transparente et explicable de manière adéquate.

  4. Intégrer des principes d'équité dans l'IA.

  5. Désigner une personne physique ou morale responsable de l'IA.

  6. Clarifier les voies de recours ou de contestation.

Au contraire de la proposition européenne qui fait peser le poids de l’application des mesures à un unique régulateur national pour chaque Etat membre, le Royaume-Uni propose l’implication de plusieurs régulateurs de secteurs différents :

  • Autorité de la concurrence et des marchés (Competition and Markets Authority)

  • L’équivalent de l’Autorité nationale de protection des données (Information Commissioner’s Office)

  • L’Agence de régulation des médicaments et des produits de santé (Medicine and Healthcare Products Regulatory Agency)

  • L’Autorité des services et marchés financiers (Financial Conduct Authority)

L’idée derrière ce mécanisme trans-sectoriel est simple – c’est l’usage de l’intelligence artificielle qu’il faut réguler et non la technologie dans son ensemble, le contexte est donc essentiel.

Et maintenant ? Le livre blanc final est attendu pour la fin de l’année. Le gouvernement britannique occupera donc les prochains mois à affiner son approche, à analyser les commentaires des parties prenantes et à étudier la meilleure manière de mettre ces nouvelles règles en pratique.

Dans le reste du monde:

  • En 2015, 59 % des jeunes de 14 ans possédaient un smartphone. En 2021, ce chiffre a bondi à 91 %.

  • Belgique : le parti libéral propose de reporter les pertes des crypto-investisseurs.

  • L'Iran utilisera désormais massivement les cryptomonnaies pour ses importations.

  • L'Estonie a subi sa cyberattaque la plus importante depuis 2007. Des tentatives d'attaques DDoS ont visé à la fois les institutions publiques et le secteur privé.

  • TikTok surveille toutes les entrées et les pressions du clavier, y compris vos mots de passe. 

  • Il développe une app qui sonne dès que votre ordinateur envoie des données à Google

  • Au lieu de médicaments, l’IA peut servir à générer des armes chimiques - des chercheurs tirent la sonnette d’alarme.

  • Géolocalisation de véhicules de location : sanction de 175 000 euros à l’encontre d’UBEEQO INTERNATIONAL.

  • Pour être avocat, il ne faudra plus être belge, mais bien montrer sa connaissance du droit belge.

  • Amazon fait des concessions pour clore les enquêtes antitrust de l'UE.

  • Twitter agit en justice pour obliger Elon Musk à conclure leur transaction de 44 milliards de dollars.

  • Snap étudie la possibilité de permettre aux utilisateurs d'utiliser leurs NFT comme filtres.

  • OpenSea, le géant du monde des NFT, fait état d'une importante fuite de données.

  • Apple accepte une transaction de 50 millions de dollars concernant les plaintes relatives au clavier Butterfly.

  • Le coût moyen d'une violation de données atteint le chiffre record de 4,4 millions de dollars.

  • Une IA vient de découvrir de manière indépendante une physique alternative.

  • Google se sépare de l'ingénieur qui prétendait que son système d'intelligence artificielle était doué de conscience.

  • Les récentes demandes de brevet d'Apple suggèrent que son envie d'introduire le secteur de l'automobile est forte, en dépit des échecs signalés avec son propre véhicule.