La Federal Trade Commission (FTC) applique la loi fédérale américaine sur la confidentialité principalement par le biais de la section 5 de la loi FTC — interdisant les "pratiques déloyales ou trompeuses" — sans un statut fédéral complet sur la confidentialité équivalent au RGPD. Malgré ce cadre plus fragmenté, l'application de la FTC en 2024 a produit l'année d'application de la confidentialité la plus agressive jamais enregistrée aux États-Unis.
Application de la FTC en 2024 : Activité record
La FTC a émis 19 actions d'application liées à l'IA en 2024 — plus que dans les trois années précédentes combinées. Combiné avec 25 lois sur la confidentialité des États américains adoptées ou en vigueur, les organisations américaines font face à un patchwork de conformité qui rivalise avec la complexité du RGPD de l'UE pour les entreprises opérant à grande échelle.
Cas clés d'application en 2024 :
Amazon Alexa (875 millions de dollars, 2023/en cours) : Amazon a été contraint de payer 25 millions de dollars en pénalités civiles pour violations de la COPPA et de supprimer les enregistrements vocaux d'Alexa des enfants conservés illégalement. La plainte plus large de la FTC comprenait des allégations selon lesquelles Amazon avait conservé des enregistrements vocaux au-delà des périodes de conservation déclarées et les avait utilisés pour former des modèles d'IA sans consentement adéquat.
Règlements de publicité comportementale de Meta : La FTC a interdit à Meta de monétiser les données collectées auprès des utilisateurs de moins de 18 ans, dans le cadre de la surveillance continue de la FTC sur l'ordre de consentement à la confidentialité de Meta.
Application des courtiers de données IA : La FTC a émis des actions d'application contre plusieurs courtiers de données vendant des profils personnels analysés par IA sans divulgation ou consentement adéquats — établissant que l'analyse IA des données personnelles pour créer des profils comportementaux constitue un traitement "sensible" nécessitant une divulgation accrue.
Application des données de santé : L'autorité d'application de la FTC sur les données de santé non couvertes par la HIPAA (applications grand public, dispositifs portables, plateformes de télésanté en dehors des réseaux de prestataires de soins de santé) a produit plusieurs actions d'application ciblant le partage non autorisé de données de santé.
Le patchwork de la confidentialité aux États-Unis : 25 lois d'État
L'absence de loi fédérale sur la confidentialité aux États-Unis a produit un patchwork de lois d'État qui couvre collectivement la majorité de la population américaine :
California CPRA (en vigueur en 2023) : La loi d'État américaine la plus complète, couvrant 40 millions de Californiens. S'applique aux entreprises ayant un chiffre d'affaires > 25 millions de dollars ou traitant plus de 100 000 consommateurs de Californie. Crée l'Agence de protection de la vie privée de Californie (CPPA) en tant qu'organisme d'application dédié.
Virginia VCDPA, Colorado CPA, Connecticut CTDPA : Droits et exigences similaires couvrant plus de 20 millions de résidents dans trois États.
Texas TDPSA, Florida FDBR : Extension de la couverture aux deux plus grands États en dehors de la Californie.
Washington My Health MY Data Act : Étend les protections des données de santé au-delà de la HIPAA aux applications de santé grand public — la loi sur les données de santé la plus agressive aux États-Unis en dehors de la Californie.
Pour les organisations opérant à l'échelle nationale, la conformité avec les 25 lois d'État actives nécessite une infrastructure de gestion des droits largement similaire au RGPD — demandes de droits des consommateurs, minimisation des données, avis de confidentialité et contrats de traitement — mais avec des exigences spécifiques variables.
Ce que signifie l'application de l'IA de la FTC sur le plan technique
Les actions d'application de l'IA de la FTC en 2024 établissent des orientations pratiques :
Transparence des données d'entraînement : Les organisations doivent être en mesure de documenter quelles données personnelles ont été utilisées pour former des modèles d'IA, si le consentement était adéquat pour cette utilisation de formation, et quelle période de conservation s'appliquait.
Limitation des finalités : Les profils personnels générés par l'IA ne peuvent pas être utilisés à des fins autres que celles divulguées au sujet des données. Utiliser l'analyse comportementale de l'IA pour le filtrage d'emploi lorsque seule la commercialisation a été divulguée constitue une violation de la loi FTC.
Pratiques de données des fournisseurs : La FTC considère que les fournisseurs SaaS qui accèdent et conservent les données des utilisateurs ont une responsabilité de conformité de l'organisation déployant. Une organisation utilisant un CRM, une plateforme d'analyse ou un outil d'IA où le fournisseur traite les données des utilisateurs doit le divulguer dans les avis de confidentialité et s'assurer que les pratiques du fournisseur correspondent aux finalités divulguées.
Architecture à connaissance nulle et conformité FTC : La préoccupation fondamentale de la FTC dans les affaires de fournisseurs d'IA est que les fournisseurs collectent, conservent et utilisent les données des utilisateurs au-delà de ce qui a été divulgué. L'architecture à connaissance nulle — où l'infrastructure du fournisseur ne détient que des données cryptées sans capacité de décryptage — signifie que le fournisseur ne peut pas s'engager dans une utilisation non divulguée des données des utilisateurs. La limitation technique s'aligne directement sur les priorités d'application de la FTC.
Proposition de réglementation sur la surveillance commerciale de la FTC
La règle proposée par la FTC sur les pratiques de surveillance commerciale (en attente à partir de 2025) créerait des exigences explicites pour :
- Minimisation des données pour le traitement par IA
- Droits de désinscription pour le profilage automatisé
- Limites sur l'utilisation secondaire des données collectées à une fin
- Exigences de sécurité pour la conservation des données personnelles
Si elle est finalisée, cette règle créerait des obligations de minimisation des données similaires au RGPD fédéral applicables à toute organisation servant des consommateurs américains — augmentant considérablement le niveau de conformité à la confidentialité sur le marché américain.
Sources :