Log in
Sign up
Retour à tous les articles

Réglementations sur la vie privée et l’IA en Californie : un tournant décisif

A digital hourglass filled with binary code and microchips, slowly trickling into a locked, transparent vault

Poussée de la législature californienne pour plus de réglementations sur la vie privée et l’IA

La session législative de Californie de 2025 s’est terminée avec un message familier aux entreprises : la conformité à la vie privée s’élargit, et la gouvernance de l’intelligence artificielle (IA) passe rapidement de pratiques volontaires à des obligations de transparence et de sécurité applicables. Le dernier jour de 2025, les législateurs ont introduit 33 projets de loi sur la vie privée et l’IA et en ont adopté 16 pour que le gouverneur puisse les signer ou les veto. En fin de compte, le gouverneur a signé quatre projets de loi sur la vie privée et sept projets de loi sur l’IA, tout en en veto cinq autres. Voici un résumé des mesures les plus importantes adoptées et quelques conseils pratiques de conformité pour les organisations opérant ou fournissant des services en Californie. Le fil conducteur est clair : la Californie réglemente les pratiques de données et le comportement des systèmes d’IA par le biais de divulgations, de documentation, de responsabilité et de mécanismes d’application.

Nouvelle loi sur la vie privée

La loi californienne sur l’opt-out universel exige des signaux d’opt-out universels basés sur le navigateur et impose aux entreprises développant ou maintenant un navigateur web de fournir aux consommateurs un signal de préférence d’opt-out universel qui s’applique à tous les sites web qu’ils visitent. Bien que le mandat soit destiné aux développeurs de navigateurs, les entreprises doivent se préparer à des signaux d’opt-out lisibles par machine et s’assurer que l’adtech, l’analytique, la personnalisation, les outils de consentement et les flux de fournisseurs peuvent reconnaître et honorer les signaux universels de manière cohérente sur tous les sites web.

Le projet de loi AB1043, concernant les signaux de vérification d’âge en ligne, adopte un modèle alternatif pour la sécurité en ligne des enfants en déplaçant les obligations ; en vertu de cette réglementation, les fournisseurs de systèmes d’exploitation doivent offrir une interface pour que les utilisateurs saisissent des informations de vérification d’âge lors de la création de compte. Ce modèle diverge des autres États en imputant la responsabilité aux développeurs et en excluant les fournisseurs de systèmes d’exploitation et les magasins d’applications de toute responsabilité. Les développeurs d’applications doivent considérer les signaux d’âge fournis par le système d’exploitation comme des attributs critiques pour la conformité.

Le projet de loi SB 361 élargit la surveillance des courtiers en données grâce à des divulgations plus larges et à un renforcement de l’application. Les courtiers doivent divulguer s’ils collectent des informations personnelles dans de nombreuses catégories, y compris l’orientation sexuelle, le statut de citoyenneté, les informations biométriques et les numéros d’identification gouvernementaux. Les courtiers doivent informer l’Agence californienne de protection de la vie privée s’ils ont vendu ou partagé des données avec des acteurs étrangers, des agences fédérales ou étatiques (y compris les forces de l’ordre) ou des développeurs de systèmes d’IA générative. En conséquence de cette réglementation, les courtiers en données et les entreprises ressemblant à des courtiers en pratique doivent revoir les flux de travail d’enregistrement, de rapport et de suppression. Les acheteurs de données doivent renforcer la diligence raisonnable des fournisseurs car ces divulgations peuvent révéler une exposition réglementaire et réputationnelle liée aux sources de données et aux transferts ultérieurs, y compris à des développeurs d’IA.

Le projet de loi AB 45 étend les interdictions pour inclure la collecte, l’utilisation, la divulgation, la vente, le partage ou la conservation d’informations personnelles d’un individu situé à l’intérieur de la géolocalisation précise des cliniques ou des centres de services de santé reproductive. Étant donné que cette réglementation prévoit un droit d’action privé en cas de violations, les organisations doivent inventorier la collecte et la conservation des données de localisation, la logique de publicité dans des lieux sensibles, le comportement des SDK, y compris les traceurs tiers, et rechercher des playbooks de gouvernance des données et de réponse des forces de l’ordre.

Transparence et sécurité de l’IA

La loi sur la transparence dans l’intelligence artificielle de pointe exige que certains développeurs d’IA de pointe, avec des revenus d’au moins 500 millions de dollars, divulguent les efforts de sécurité, y compris :

  • Divulgations au Bureau des services d’urgence plus des audits obligatoires par des tiers ;
  • Les divulgations doivent identifier les normes acceptées intégrées dans leurs cadres ;
  • Un cadre de sécurité clair doit être adopté et publié sur le site web du développeur.

Les développeurs concernés doivent se préparer à des audits de gouvernance grâce à des cadres de sécurité écrits, des normes cartographiées et des processus de divulgation. Les entreprises achetant des services de modèles de pointe doivent s’attendre à des changements dans les achats et la diligence raisonnable alors que les fournisseurs s’alignent sur les attentes d’audit et de divulgation.

De plus, le projet de loi SB 243 régule les chatbots compagnons avec des divulgations, des protocoles de sécurité et des rapports de prévention du suicide. La réglementation exige :

  • Une divulgation claire et évidente que l’utilisateur interagit avec une IA, et non un humain, si une personne raisonnable pourrait être induite en erreur ;
  • Des mesures de protection qui empêchent l’engagement s’il n’existe pas de protocole pour éviter les contenus nuisibles, y compris les discours d’automutilation et d’idées suicidaires, ou du contenu sexuel si l’utilisateur est un mineur connu.

À quoi s’attendre en 2026

La seconde moitié de la session législative californienne a commencé. Plus de 22 projets de loi seront reportés, avec une date limite au 20 février 2026 pour les nouveaux projets de loi. Les projets de loi sur la vie privée en comité incluent des ajustements à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et à la loi californienne sur l’invasion de la vie privée (CIPA), ainsi que des projets de loi sur la surveillance au travail. De potentielles nouvelles obligations pour les courtiers en données et de nouveaux rapports pour les entreprises collectant des géolocalisations précises figurent également sur la liste. Dix projets de loi sur l’IA sont en attente d’une action supplémentaire, y compris plusieurs projets de loi sur la tarification algorithmique, ainsi que des projets de loi sur les bots IA, la prise de décision automatisée à haut risque, le droit d’auteur et la discrimination.

Dans l’ensemble, ces enactements confirment que la Californie transforme progressivement la gestion des risques liés à la vie privée et à l’IA en exigences opérationnelles que les régulateurs et les plaignants peuvent tester par le biais de documentation, de divulgations et de contrôles démontrables. Les organisations doivent aligner l’ingénierie, le produit, les achats et le juridique autour d’une feuille de route de conformité unique qui couvre la reconnaissance des signaux d’opt-out universels, les garanties liées à l’âge et aux mineurs, les flux de travail de rapport et de suppression de style courtier en données, les garde-fous pour les données sensibles de géolocalisation et de santé, ainsi que la gouvernance de la transparence et de la sécurité de l’IA qui peut résister à l’audit et à la diligence raisonnable des fournisseurs. Avec des dizaines de projets de loi reportés et de nouvelles propositions imminentes, la posture la plus résiliente est d’institutionnaliser des processus répétables dès maintenant, y compris la cartographie des données, la surveillance des fournisseurs, la mise à jour des politiques et des avis, les tests et la surveillance, ainsi que les playbooks de réponse aux incidents, afin que les nouvelles exigences californiennes puissent être absorbées comme des changements incrémentaux plutôt que comme un travail de révision perturbateur.

Articles

A safety helmet worn by drone operators

L’EU AI Act et l’avenir des drones

décembre 17, 2025 IA
Cet article examine l'impact de la loi sur l'IA de l'UE sur l'utilisation des drones. Il met en lumière les implications réglementaires et les défis auxquels les entreprises doivent faire face dans ce...
Read More
A safety helmet worn by drone operators

L’EU AI Act et l’avenir des drones

décembre 1, 2025 Conformité IA,IA,Régulation IA EU,Régulation IA pour les drones
Cet article examine l'impact de la loi sur l'IA de l'UE sur l'utilisation des drones. Il met en lumière les implications réglementaires et les défis auxquels les entreprises doivent faire face dans ce...
Read More
A light bulb to convey innovation and the bright potential of responsible AI solutions.

L’importance incontournable de l’IA responsable

novembre 29, 2025 AI Ethics,Conformité éthique IA,IA,Impact of AI Regulation on Innovation
Les entreprises sont conscientes de la nécessité d'une IA responsable, mais beaucoup la considèrent comme une réflexion après coup. En intégrant des pratiques de données fiables dès le départ, les...
Read More
A traffic light to illustrate the need for clear guidelines and regulations in managing AI technologies.

Modèle de gouvernance AI : mettez fin à l’ère du Shadow IT

novembre 29, 2025 AI Ethics,Conformité IA,IA,Regulation IA
Les outils d'intelligence artificielle (IA) se répandent rapidement dans les lieux de travail, transformant la façon dont les tâches quotidiennes sont effectuées. Les organisations doivent établir des...
Read More
A roadmap illustrating the journey companies must take to align with AI regulations.

L’UE accorde un délai aux entreprises pour se conformer aux règles de l’IA

novembre 29, 2025 Conformité IA,Conformité UE IA,IA,Régulation IA EU
L'UE prévoit de retarder l'application des règles à haut risque de la loi sur l'IA jusqu'à fin 2027, afin de donner aux entreprises plus de temps pour se conformer. Les groupes de défense des droits...
Read More
A semiconductor chip

Tensions autour des restrictions sur les exportations de puces AI et le GAIN AI Act

novembre 29, 2025 Commercial Impact of AI Regulation,Conformité IA pour les entreprises,IA,Regulation de l'IA
La Maison Blanche s'oppose au GAIN AI Act, qui vise à donner la priorité aux entreprises américaines pour l'achat de puces AI avancées avant leur vente à des pays étrangers. Cette mesure met en...
Read More
Compliance checklist

Défis de l’IA : Les experts appellent à des réformes pour l’industrie medtech en Europe

novembre 29, 2025 Conformité IA UE,IA,Regulation de l'IA,Régulation IA dans le secteur médical
Un panel d'experts a exprimé des inquiétudes concernant la législation récemment adoptée sur l'intelligence artificielle (IA) de l'UE, affirmant qu'elle représente un fardeau significatif pour les...
Read More
A tree

Innover responsablement grâce à l’IA éthique

novembre 29, 2025 AI Ethics,Cadre éthique IA,IA,Technological Innovation AI
Les entreprises cherchent à innover avec l'intelligence artificielle, mais souvent sans les garde-fous nécessaires. En intégrant la conformité et l'éthique dans le développement technologique, elles...
Read More
A warning sign

Risques cachés de conformité liés à l’IA dans le recrutement

novembre 29, 2025 IA
L'intelligence artificielle transforme la façon dont les employeurs recrutent et évaluent les talents, mais elle introduit également des risques juridiques importants en vertu des lois fédérales sur...
Read More