APRA : pro­jet de “loi amé­ri­cai­ne sur les droits à la vie privée

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • L’APRA est un pro­jet amé­ri­cain bipar­ti­san et mul­ti­sec­to­ri­el de pro­tec­tion glo­ba­le des don­nées des con­som­ma­teurs, inspi­ré de l’ADPPA, de la COPRA et, en par­tie, des prin­cipes du RGPD.
  • Éten­due de la régle­men­ta­ti­on : mini­mi­sa­ti­on des don­nées, droits (accès, effa­ce­ment, oppo­si­ti­on), sécu­ri­té des don­nées, obli­ga­ti­on de DPO et obli­ga­ti­ons par­ti­cu­liè­res pour les gran­des pla­te­for­mes et les cour­tiers en données.
  • L’APRA con­ti­ent des règles spé­ci­fi­ques pour les algorithmes/AI, y com­pris des éva­lua­tions d’im­pact sur les ris­ques, des obli­ga­ti­ons d’in­for­ma­ti­on et des droits d’op­po­si­ti­on pour les appli­ca­ti­ons décisionnelles.

Aux États-Unis, une nou­vel­le ten­ta­ti­ve de régle­men­ta­ti­on inter­sec­to­ri­el­le et natio­na­le de la pro­tec­tion des don­nées de base est en cours, sous la for­me de l’ ”Ame­ri­can Pri­va­cy Rights Act” (APRA):

Actu­el­le­ment, l’A­PRA est un pro­jet de dis­cus­sion, mais il est sou­te­nu par les deux par­ties (“bipar­ti­san”) et a donc un peu plus de chan­ces d’a­bout­ir que les ten­ta­ti­ves pré­cé­den­tes, com­me par exemp­le de l’ADPPALe con­te­nu de l’A­PRA s’in­spi­re tou­te­fois de l’ADPPA et du Fede­ral Con­su­mer Online Pri­va­cy Rights Act (COPRA). Cer­tai­nes simi­li­tu­des avec le RGPD sont en out­re évi­den­tes, même si la ter­mi­no­lo­gie dif­fè­re natu­rel­le­ment (p. ex. “Cover­ed Enti­ties” au lieu de “respons­ables”). L’APRA se limi­te au domaine pri­vé et exclut les ent­re­pri­ses dont le chif­fre d’af­fai­res est infé­ri­eur à USD 40M et les don­nées de moins de 200’000 con­som­ma­teurs, tant qu’el­les ne ven­dent pas de don­nées personnelles.

L’APRA régle­men­te sur 53 pages répar­ties en 24 sec­tions, ent­re aut­res, cer­ta­ins points sui­vants Prin­cipes (par exemp­le pour mini­mi­ser les don­nées), Droits (par exemp­le, un droit d’op­po­si­ti­on à la publi­ci­té, un droit d’ac­cès ou un droit d’effa­ce­ment), des deman­des de con­sen­te­ment, des deman­des d’in­for­ma­ti­on et des deman­des d’au­to­ri­sa­ti­on.rde don­nées sen­si­bles à des tiers, des dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées à carac­tère per­son­nel et des dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées à carac­tère per­son­nel. Sécu­ri­té des don­néesLe devoir, DPOs de com­man­der, et des exi­gen­ces par­ti­cu­liè­res pour cer­tai­nes ent­re­pri­sesLes réseaux soci­aux sont des outils qui per­met­tent d’ac­cé­der à des infor­ma­ti­ons de gran­de qua­li­té, par exemp­le des réseaux soci­aux de gran­de tail­le avec une por­tée par­ti­cu­liè­re et des cour­tiers en données.

En réfé­rence à cer­ta­ins Algo­rith­mes l’A­PRA con­ti­ent éga­le­ment une régle­men­ta­ti­on spé­ci­fi­que. Étant don­né que les algo­rith­mes sont un ter­me défi­ni adap­té aux appli­ca­ti­ons d’in­tel­li­gence arti­fi­ci­el­le (même si la défi­ni­ti­on est plus lar­ge), l’A­PRA est éga­le­ment un début de régle­men­ta­ti­on de l’in­tel­li­gence arti­fi­ci­el­le qui s’in­scrit dans le canon crois­sant des régle­men­ta­ti­ons cor­re­spond­an­tes. Dans la mesu­re où les ent­re­pri­ses appli­quent l’AI Act en tant que nor­me mon­dia­le, ce qui est en par­tie le cas et le sera cer­tai­ne­ment de plus en plus, les dis­po­si­ti­ons de l’A­PRA sont essen­ti­el­le­ment com­pa­ti­bles. En cas d’uti­li­sa­ti­on d’al­go­rith­mes, les grands respons­ables de domain­es d’ap­pli­ca­ti­on sen­si­bles (par exemp­le dans le domaine du tra­vail ou de la san­té, ou en cas d’uti­li­sa­ti­on de don­nées par­ti­cu­liè­re­ment déli­ca­tes) doi­vent pro­cé­der à une ana­ly­se d’im­pact sur les ris­ques, et si des algo­rith­mes pren­nent des décis­i­ons ou faci­li­tent des décis­i­ons humain­es, des obli­ga­ti­ons d’in­for­ma­ti­on et un droit d’op­po­si­ti­on sont prévus.

L’APRA est struc­tu­rée de la maniè­re suivante :

  • Sec. 1. tit­re court ; table des matières.
  • Sec. 2. Définitions.
  • Sec. 3. mini­mi­sa­ti­on des données.
  • Sec. 4 Transparence
  • Sec. 5. con­trô­le indi­vi­du­el des don­nées couvertes.
  • Sec. 6. Droits de non-par­ti­ci­pa­ti­on et méca­nis­me centralisé.
  • Sec. 7. Inter­fé­rence avec les droits des consommateurs.
  • Sec. 8. pro­hi­bi­ti­on du déni de ser­vice et de l’a­ban­don des droits.
  • Sec. 9. sécu­ri­té des don­nées et pro­tec­tion des don­nées couvertes.
  • Sec. 10. Responsa­bi­li­té exécutive.
  • Sec. 11. Four­nis­seurs de ser­vices et tiers.
  • Sec. 12. Cour­tiers en données.
  • Sec. 13. Droits civils et algorithmes.
  • Sec. 14. Décis­i­on con­se­cu­ti­ve opt out.
  • Sec. 15. lignes direc­tri­ces en matiè­re de con­for­mi­té approu­vées par la Commission.
  • Sec. 16. Pro­gram­me pilo­te de tech­no­lo­gie de ren­force­ment de la vie privée.
  • Sec. 17. appli­ca­ti­on par la Com­mis­si­on fédé­ra­le du commerce.
  • Sec. 18. Appli­ca­ti­on par les États.
  • Sec. 19. Appli­ca­ti­on par les individus.
  • Sec. 20. Rela­ti­on avec d’aut­res lois.
  • Sec. 21. Children’s Online Pri­va­cy Pro­tec­tion Act of 1998 (loi de 1998 sur la pro­tec­tion de la vie pri­vée des enfants en ligne).
  • Sec. 22. Ter­mi­na­ti­on of FTC rule­ma­king on com­mer­cial sur­veil­lan­ce and data security.
  • Sec. 23. Séverabilité.
  • Sec. 24. Date d’effet.