Le 12 avril dernier, un projet de loi intitulé « Algorithmic Accountability Act of 2019 », initié par trois sénateurs américains (Cory Booker, Ron Wyden et Yvette Clarke) a été proposé au Sénat.

Cette initiative intervient quelques semaines seulement après que Facebook a été accusé d’avoir procédé à une discrimination dans la diffusion d’annonces de logements, en violation du « Fair House act ».

 

Ce projet vise à imposer une transparence dans le cadre de l’utilisation des algorithmes notamment par l’instauration d’évaluations régulières des algorithmes et une utilisation a minima des données.

Le champ d’application proposé est pour l’heure restrictif, il concerne toute personne morale :

  • dont le chiffre d’affaire annuel moyen des trois dernières années est supérieur à 50 millions de dollars, ou
  • qui traite ou détient les données personnelles de plus d’un million de personnes ou de plus d’un million d’appareils, ou
  • qui est détenue ou contrôlée par une entreprise qui réunit les conditions énoncées ci-dessus, ou
  • qui est un courtier en données ou un autre type d’entité commerciale dont l’activité principale consiste à acheter ou vendre les données des consommateurs.

Le projet de loi entend donner pouvoir à la Commission fédérale du commerce (Federal Trade Commission) pour établir des règles imposant des “analyses d’impact”, à savoir des études permettant d’évaluer l’étendue de protection de la vie privée et de la sécurité conférée par le système d’information.

 

Ces analyses d’impact devront être conduites lors de la mise en place de certaines catégories d’algorithmes, ainsi que sur ceux qui sont déjà existants. Sont visés en particulier les algorithmes qualifiés au sens de cette loi de “système de décision automatisé à risque élevé” c’est-à-dire :

1.    ceux qui présentent un risque élevé :

  • pour la vie privée ou la sécurité des données à caractère personnel, ou
  • de conduire ou de contribuer à une décision erronée, injuste, tendancieuse ou discriminatoire affectant les individus, ou

2.    ceux qui permettent de prendre des décisions ou de faciliter la prise de décision, sur la base de l’évaluation large et systématique des individus, en ce compris la tentative d’évaluer ou de prédire des aspects sensibles de leur vie tels que leur performance de travail, leur situation économique, leur santé, leurs préférences personnelles, leurs intérêts, leur comportement, leur localisation ou leurs mouvements et qui :

  • restreignent leurs droits, ou qui
  • les affectent de façon significative,

3.    ceux qui impliquent les données personnelles d’un grand nombre d’individus notamment sur la couleur de peau, l’origine, les opinions politiques, la religion, l’appartenance syndicale, les données génétiques, biométriques, de santé, le sexe, l’orientation sexuelle, les condamnations criminelles, etc.

4.    ceux qui contrôlent de façon systématique un lieu de grande taille et accessible au public.

Dans le cas où l’entreprise réalise, lors de cette évaluation, que ses algorithmes effectuent des traitements discriminatoires, elle aura alors non seulement l’obligation d’écrire un rapport détaillé sur les traitements automatisés effectués par ces derniers mais elle aura aussi l’obligation d’y remédier dans les meilleurs délais afin d’empêcher que ces pratiques discriminatoires perdurent.

Ces dispositions ne sont pas sans rappeler les mécanismes des études d’impact sur la vie privée et la règlementation des processus de décision automatisée introduites par le RGPD.

 

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité et Lamia El Fath, avocat

 

#Innovation #Protection des données

 

Nous contacter