La Federal Trade Commission (FTC) a révisé son processus d’élaboration de règles l’année dernière, rationalisant sa capacité à mettre en œuvre de nouvelles règles et réglementations liées à la confidentialité et à la sécurité.

Les développements ultérieurs indiquent clairement que l’agence se lancera dans une campagne agressive d’élaboration de règles en 2022.

Il est important de noter que l’ambitieuse liste de souhaits de la FTC en matière d’initiatives d’élaboration de règles pour l’année à venir pourrait transformer le paysage juridique de la confidentialité et de la sécurité en créant des obligations de conformité considérablement améliorées et plus complexes pour les entreprises qui collectent et utilisent des données personnelles.

Les changements pourraient être particulièrement importants si la FTC modifie fondamentalement la façon dont elle aborde son traitement et son application des questions clés.

Menace de confidentialité de l’IA

En juillet 2021, la FTC a finalisé les modifications de ses procédures d’élaboration de règles en vertu de l’article 18 de la loi FTC qui visent à rationaliser – et à donner à la FTC plus de contrôle sur – le processus d’élaboration de règles.

Avant les changements, la FTC n’avait utilisé ce processus que sept fois au cours de plus de trois décennies. L’agence a déjà été particulièrement hésitante à tirer parti du processus pour promulguer des règles de confidentialité et de sécurité en raison de sa complexité et de sa durée peu pratiques.

Mais avec un processus d’élaboration de règles plus souple en place, la FTC est sur le point de devenir beaucoup plus active en ce qui concerne l’élaboration de règles sur les questions de confidentialité et de sécurité.

En effet, fin 2021, l’agence a signalé cette intention en publiant un préavis de proposition de réglementation sur la confidentialité et l’intelligence artificielle (IA) « pour freiner les pratiques de sécurité laxistes, limiter les abus de confidentialité et garantir que la prise de décision algorithmique ne entraîner une discrimination illégale ».

Cette décision a été annoncée par une FTC communiqué de presse publié en avril 2021 qui mettait en garde contre le potentiel de l’IA à « introduire par inadvertance des préjugés ou d’autres résultats injustes » dans « la médecine, la finance, les opérations commerciales, les médias, etc. ».

Priorités réglementaires

Dans un Énoncé des priorités réglementaires (PDF) qui établissait une feuille de route pour 2022 pour de nouvelles règles, la FTC a déclaré que l’impulsion pour une activité accrue d’élaboration de règles découlait d’un « changement de circonstances » qui comprenait un 2021 Décision de la Cour suprême (PDF) qui a considérablement limité la capacité de l’agence à demander réparation contre les entreprises se livrant à des pratiques inappropriées en matière de confidentialité ou de sécurité, l’insuffisance de «l’approche au cas par cas de la promotion de la concurrence» de l’agence et la rationalisation par la FTC de son article 18 processus.

Il est important de noter que le pouvoir de la FTC de demander réparation aux clients et/ou des sanctions civiles lors de l’application des propres règles de l’agence n’a pas été affecté par la décision susmentionnée de la Cour suprême (AMG Capital Management contre FTC).

L’énoncé des priorités réglementaires de la FTC expliquait en outre que la FTC cherchera à mettre en œuvre de nouvelles règles qui « définissent avec précision les actes ou pratiques déloyaux ou trompeurs ; qui « freine […] pratiques de sécurité laxistes, limite […] surveillance intrusive et assurer […] que la prise de décision algorithmique n’entraîne pas de discrimination illégale » ; et qui définissent « certaines « méthodes de concurrence déloyale » interdites par l’article 5 de la loi FTC favoriseraient la concurrence et apporteraient une plus grande clarté au marché ».

La FTC a également signalé son intention de se concentrer – principalement par la promulgation de nouvelles règles – sur la loi sur la protection de la vie privée en ligne des enfants (COPPA), les guides d’approbation et les règles concernant les notifications de violation de la santé, le vol d’identité, les options négatives et les garanties.

Garder un œil attentif

Toute cette activité d’élaboration de règles à venir pourrait entraîner des changements importants dans le paysage juridique américain de la confidentialité et de la sécurité.

Cela survient à un moment où le respect de la vie privée est compliqué par la promulgation de lois complètes sur la protection de la vie privée des consommateurs par la Virginie et le Colorado, ainsi que par une législation similaire envisagée par une majorité d’autres États qui n’ont actuellement pas de telles lois.

En tant que telles, toutes les entreprises qui collectent ou utilisent des données personnelles de toute nature sont bien avisées de surveiller les développements de la FTC tout au long de l’année. L’agence aura probablement un impact démesuré sur leurs obligations de conformité en 2022 par rapport aux années précédentes.