L’administration Biden a identifié des « pays préoccupants » exploitant les informations personnelles sensibles des Américains dans le cadre d’une urgence nationale. Pour faire face à la crise, la Maison Blanche a publié le 28 février 2024 un décret visant à empêcher ces pays d’accéder aux informations personnelles sensibles des Américains.
L’ordre ne précise pas les états, par contre les médias citent des hauts responsables anonymes de l’administration les identifiant comme étant la Chine, la Russie, la Corée du Nord, l’Iran, Cuba et le Venezuela.
Le décret adopte une définition simple et large des informations sensibles qui doivent être protégées, mais le décret est limité dans les protections qu’il offre.
L’importance la plus importante de cette ordonnance réside dans la raison pour laquelle les États-Unis ont besoin d’une telle ordonnance pour protéger les informations sensibles des citoyens. L’urgence nationale est le résultat direct des quantités stupéfiantes de informations personnelles sensibles mises en vente – à tout le monde – sur le vaste marché international des informations commerciales, composé d’sociétés qui collectent, analysent et vendent des informations personnelles.
Les courtiers en informations utilisent des systèmes d’intelligence artificielle prédictive et générative en constante évolution pour mieux comprendre la vie des gens et exploiter ce pouvoir. Cela présente de plus en plus de risques pour les individus et pour la sécurité intérieure et nationale.
Je suis avocat et professeur de droit, et je travaille, écris et enseigne sur les informations, la confidentialité des informations et l’IA. J’apprécie l’attention que l’ordonnance met sur les dangers du marché des informations en reconnaissant que les sociétés collectent plus de informations sur les Américains que jamais auparavant – et que ces informations sont légalement vendues et revendues par l’intermédiaire de courtiers en informations. Ces dangers soulignent l’incapacité du Congrès à protéger les informations les plus sensibles des citoyens.
Les informations personnelles sensibles peuvent alimenter le chantage, soulever des problèmes de sécurité nationale et peuvent être utilisées comme preuve dans le cadre de poursuites. Cela est particulièrement vrai à l’ère de la désinformation et des deepfakes (usurpations d’identité vidéo ou audio générées par l’IA) et avec les récentes décisions des tribunaux fédéraux et étatiques américains qui autorisent les États à restreindre et à criminaliser les choix personnels privés, y compris ceux liés aux droits reproductifs. Le décret tend à protéger les Américains de ces risques – du moins ceux des pays préoccupants.
En plus du décret visant à empêcher les états adversaires d’accéder aux informations sensibles des Américains, l’administration Biden enquête aussi sur le risque pour la vie privée que posent les voitures chinoises vendues aux États-Unis.
Ce que fait le décret
L’ordonnance donne des directives aux agences fédérales pour contrer les efforts continus de certains pays pour accéder aux informations personnelles sensibles des Américains ainsi qu’aux informations liées au gouvernement américain. Entre autres préoccupations, l’ordonnance souligne que les informations personnelles devraien être utilisées pour faire chanter des personnes, notamment des militaires et des membres du gouvernement.
En vertu de cette ordonnance, le ministère de la Justice élaborera et publiera des réglementations empêchant le transfert de grande ampleur de informations personnelles sensibles des Américains vers des pays préoccupants.
Plus largement, l’ordonnance encourage le Bureau de protection financière des consommateurs à prendre des mesures pour renforcer le respect de la loi fédérale sur la protection des consommateurs. Cela pourrait en partie contribuer à limiter la collecte et la vente trop invasives de informations sensibles et à réduire la quantité d’informations financières – comme les rapports de solvabilité – que les courtiers en informations collectent et revendent.
L’ordonnance ordonne aussi aux agences fédérales compétentes d’interdire aux courtiers de informations de vendre des informations massives sur la santé et la génomique aux etats concernés. Il reconnaît que les courtiers en informations et leurs consommateurs sont de plus en plus en mesure d’employer l’IA pour analyser les informations de santé et génomiques et d’autres types de informations qui ne contiennent pas l’identité des individus afin de relier les informations à des individus particuliers.
Définir les informations personnelles sensibles
Du point de vue de la confidentialité des informations, l’ordonnance est importante grâce à sa définition large de ce qui constitue des informations personnelles sensibles. Ce terme générique comprend « les identifiants personnels couverts, la géolocalisation et les informations de capteurs associées, les identifiants biométriques, les informations omiques humaines, les informations de santé personnelles, les informations financières personnelles ou toute combinaison de ceux-ci ». Ne sont pas incluses dans la définition les informations qui relèvent du secteur public.
La définition large est significative car elle affirme une rupture avec l’approche standard du système juridique américain en matière de informations, qui est secteur par secteur. En règle générale, les lois fédérales et étatiques protègent différents types de informations, comme les informations de santé, les informations biométriques et les informations financières, de différentes manières. Seules les personnes et entités de ces secteurs, comme votre médecin ou votre banque, sont réglementées quant à la manière dont elles utilisent les informations.
Cette approche fragmentaire n’est pas bien adaptée à l’ère des satellites et des appareils intelligents et a laissé de nombreuses informations, même très sensibles, sans protection. Par exemple, les smartphones, les appareils portables et les applications qu’ils contiennent détectent, collectent, utilisent et diffusent de grandes quantités de informations très révélatrices liées à la santé et aux informations de géolocalisation, mais ces informations ne sont pas couvertes par la loi sur la portabilité et la responsabilité de l’assurance maladie ou d’autres protection des informations. lois.
En regroupant ces catégories de informations historiquement différentes sous l’expression plus large et plus facile à comprendre « informations personnelles sensibles », les décideurs politiques du pouvoir exécutif se sont inspirés du travail de la Federal Trade Commission pour protéger les informations sensibles des consommateurs. La FTC a ordonné à certains courtiers en informations d’arrêter de vendre des informations de localisation sensibles sur des individus. Cette ordonnance reflète aussi la compréhension croissante des décideurs politiques de ce qui est nécessaire pour une protection significative des informations à l’ère de l’IA prédictive et générative.
Ce que le décret ne fait pas
Le décret précise qu’il ne cherche pas à bouleverser le marché mondial des informations ni à avoir un impact négatif sur « les importantes relations de consommation, économiques, scientifiques et commerciales que les États-Unis entretiennent avec d’autres pays ». Il ne cherche pas non plus à interdire de manière générale aux citoyens des États-Unis d’effectuer des transactions commerciales avec des entités et des individus placés dans les états concernés ou « soumis au contrôle, à la direction ou à la juridiction de ceux-ci ».
Il n’impose pas non plus de mesures qui restreindraient les accords des États-Unis visant à augmenter l’accès du public à la recherche scientifique, le partage et l’interopérabilité des informations électroniques sur la santé, de même que l’accès des patients à leurs informations.
En particulier, il ne cherche pas à imposer une exigence générale d’après laquelle les sociétés doivent stocker les informations sensibles des Américains ou les informations relatives au gouvernement américain dans les limites territoriales des États-Unis, ce qui, en théorie, assurerait une meilleure protection des informations. Il ne cherche pas non plus à réécrire le cadre volontaire de 2023 sur la confidentialité des informations pour les transferts de informations entre l’Union européenne et les États-Unis.
En résumé, cela ne change pas grand-chose aux activités et aux pratiques des courtiers de informations commerciaux américains – sauf quand ces activités impliquent les états préoccupants.
Et après?
Les différentes agences chargées d’agir doivent le faire dans des délais clairement spécifiés, allant de quatre mois à un an, donc pour l’instant c’est un jeu d’attente. Entre-temps, le président Joe Biden a rejoint une longue liste de personnes qui continuent d’exhorter le Congrès à adopter une législation bipartite complète sur la protection de la vie privée.
Anne Toomey McKenna est coprésidente du comité politique sur l’intelligence artificielle (AIPC) de l’Institute for Electrical and Electronics Engineers (IEEE) des États-Unis, qui implique des interactions thématiques et liées à l’éducation avec le personnel du Sénat et de la Chambre des représentants des États-Unis et le Congressional AI Caucus. McKenna a reçu un financement de la National Security Agency pour le développement de matériel pédagogique juridique sur la cyberloi et un financement de la National Police Foundation en collaboration avec la division US Department of Justice-COPS pour une analyse juridique a propos l’utilisation de drones dans la police nationale.