Comme tout bon bureaucrate, si vous travaillez en tant que professionnel de la protection de la vie privée au sein d’une agence fédérale, vous connaissez un assortiment mystérieux d’acronymes. Lorsque votre agence envisage d’utiliser un nouveau système technique, vous savez que vous devrez remplir un PTA indiquant si le système collectera des informations personnelles, ce qui déterminera si vous devez remplir un PIA ou publier un SORN. Bientôt, vous devrez peut-être également mener une AIIA ou publier une AIUCI.
Reste avec moi; Je vous promets que ces acronymes comptent.
La série de mesures prises par les agences en matière de protection de la vie privée ne constitue pas un simple exercice de paperasse. En fait, et avec une certaine ironie orwellienne, certaines de ces exigences trouvent leur origine dans une loi américaine appelée Paperwork Reduction Act. Plus précisément, c’est la loi sur l’e-gouvernement de 2002 qui a amené à pleine maturité les exigences de transparence et de responsabilité des programmes gouvernementaux de protection de la vie privée.
Avant 2002, les agences étaient tenues de publier des avis sur le système officiel d’enregistrement dans le Federal Register, une exigence qui remonte à la loi sur la protection de la vie privée de 1974. Ces avis expliquent l’autorité légale dont dispose une entité gouvernementale pour collecter, traiter et conserver des informations personnelles. . Leur nature publique en fait un outil clé de transparence et de responsabilité. Un « système d’enregistrements » est essentiellement un terme désuet pour désigner une base de données.
Comparés aux pratiques du secteur privé, les SORN ressemblent beaucoup aux fondements d’un solide programme de cartographie des données, même s’il doit être mis à la disposition du public. Par exemple, jetez un œil aux rapports détaillés de la Federal Trade Commission des États-Unis. liste de tous les systèmes d’enregistrement qu’elle maintient, qui dresse effectivement une carte des systèmes de données détenus par l’agence, ou du moins de ceux qui touchent à des informations personnellement identifiables.
Après 2002, les agences ont également été tenues de mener des évaluations des facteurs relatifs à la vie privée, ce qui devrait être un terme familier pour les professionnels de la vie privée du monde entier.
Pour illustrer l’omniprésence de ces évaluations, jetez un œil à PIA de l’Internal Revenue Service sur une seule page Facebook qu’elle gère, à travers laquelle l’agence prédit à juste titre qu’elle pourrait collecter des informations personnelles via des interactions avec les comptes de réseaux sociaux des individus.
Comme pour tout processus de bonne gouvernance, il y a toujours une étape avant le début de la documentation, lorsque vous déterminez quelles parties du processus seront nécessaires. C’est là qu’intervient l’analyse du seuil de confidentialité. page d’une sous-agence du ministère américain de l’Agriculture explique comment les PTA aident l’agence à intégrer les principes de confidentialité dans tout programme nouveau ou modifié, fournissant un endroit pour documenter si un PIA ou un SORN – ou les deux – seront requis.
Heureusement, l’agence répertorie chaque PIA et chaque SORN qu’elle a menés, qui sont tous rendus publics pour inspection.
Nous espérons que les entités du secteur privé mènent déjà des processus similaires dans le cadre d’un solide programme de gouvernance de la confidentialité, même si elles ne sont pas obligées de rendre ces documents accessibles au public.
Aujourd’hui, les décideurs politiques et les bureaucrates sont confrontés à une nouvelle question : comment l’essor des systèmes techniques avancés, comme ceux alimentés par l’apprentissage automatique ou l’intelligence artificielle, complique-t-il les processus existants visant à assurer la transparence et à redresser le traitement des données personnelles ?
L’une des considérations exposées dans le récent décret 14110 est de savoir si les processus de gouvernance de l’IA devraient être annexés aux processus de confidentialité existants au sein des agences fédérales. Il se trouve que c’est la même question à laquelle se trouvent confrontées de nombreuses organisations du secteur privé.
Pour aider à répondre à cette question, l’OMB est solliciter les commentaires du public sur les PIA avec une date limite au 1er avril.
Dans le même temps, le gouvernement fédéral – tout comme de nombreuses organisations du secteur privé – se rend compte de la nécessité de créer de nouveaux processus de gouvernance pour les systèmes d’IA, distincts des processus de confidentialité, afin d’aider à intégrer d’autres considérations et équités comme les préjugés et la discrimination dans les pratiques de gouvernance des données. C’est là qu’interviennent les évaluations d’impact de l’IA.
Le projet de lignes directrices de l’OMB sur l’IA renforce les processus de gouvernance de certains systèmes d’IA, qui font écho à bien des égards aux exigences de transparence en matière de confidentialité ci-dessus. L’OMB exige déjà la publication d’inventaires annuels des cas d’utilisation de l’IA par les agences fédérales. Cette année, les agences devront « identifier et communiquer des détails supplémentaires sur la manière dont elles utilisent l’IA ayant un impact sur la sécurité et les droits, les risques – y compris les risques pour l’équité – qu’une telle utilisation pose (et) la manière dont elles gèrent ces risques ».
Pour ces nouvelles catégories de systèmes à haut risque (IA ayant un impact sur la sécurité et les droits), l’OMB exigera également des agences qu’elles effectuent une évaluation de l’impact de l’IA pour documenter les objectifs, les risques et les garanties du système. Pour l’instant, cela semble être une exigence de documentation interne, que chaque agence doit être prête à fournir à l’OMB, bien que le projet de lignes directrices envisage la possibilité que les agences incluent ces évaluations dans leurs inventaires annuels de cas d’utilisation de l’IA.
Le secteur privé a beaucoup à apprendre de ces innovations en matière de gouvernance de l’IA, mais il reste également beaucoup à décider. Par exemple, dans sa demande d’informations sur les PIA, l’OMB demande des commentaires sur la manière dont les évaluations des risques liés à l’IA seront liées aux règles potentiellement améliorées pour les PIA. S’agit-il de processus parallèles mais distincts ? Font-ils tous partie de la même conversation sur la gouvernance ?
Nous nous posons à peu près la même question alors que nous nous penchons sur le rôle que jouent les professionnels de la protection de la vie privée dans la profession émergente de gouvernance de l’IA. Il existe autant de facteurs complémentaires que de distinctions entre les domaines. Mais il est clair que les professionnels de la protection de la vie privée et les processus de protection de la vie privée continueront de faire partie de la solution pour atténuer les risques liés à l’IA, même si nous nous efforçons de découvrir le reste de la situation.
Voici à quoi d’autre je pense :
- Le New Jersey est le 13ème État chanceux à avoir adopté une loi complète sur la vie privée des consommateurs. et il vient avec quelques nouvelles bizarreries. Contrairement au New Hampshire, bientôt numéro 14, qui présente très peu de qualités distinctives par rapport aux lois des autres États, le New Jersey présente quelques rebondissements pour les professionnels de la vie privée. Celles-ci incluent de larges définitions de données sensibles, peut-être l’ensemble d’exigences d’adhésion le plus strict pour les données des adolescents, un droit de suppression fort et un pouvoir de réglementation pour le procureur général. Jordan Francis, du Forum sur l’avenir de la vie privée, a fourni un analyse des caractéristiques distinctives de la nouvelle loi.
- Pendant ce temps, un important la critique du CDT sur l’échec des États américains à créer de véritables règles de minimisation des données. Eric Null, codirecteur du projet sur la confidentialité et les données du CDT, écrit que les lois des États sur la confidentialité des consommateurs ne font que perpétuer un régime de notification et de choix et « nous laissent tomber en matière de minimisation des données ». Le concept a été récupéré au niveau de l’État pour signifier quelque chose de plus. comme les entreprises ne peuvent pas collecter de données à quelque fin que ce soit pour lesquels ils n’informent pas le consommateur” Après avoir analysé les codes d’État existants, Null appelle les États à réexaminer leur approche, soit en donnant la priorité à un style différent de nouvelle loi comme celles en cours dans le Massachusetts et le Maine, soit en corrigeant les codes existants avec des restrictions de base plus strictes sur la collecte et l’utilisation des données.
- Pour ne pas être en reste, l’Electronic Privacy Information Center a publié aujourd’hui un rapport qui analyse chacune des 14 lois nationales en vigueur sur la protection de la vie privée des consommateurs. Le groupe a créé une rubrique pour attribuer une note alphabétique à chaque loi selon qu’elle inclut ou non des dispositions qui « protégeraient adéquatement les consommateurs en ligne ». Aucun État n’a reçu un « A ».
- Comme la FTC l’a déjà dit, le fait de ne pas adopter la minimisation des données constitue une menace pour la sécurité et la vie privée. Dans un nouveau commande contre Blackbaud, l’agence réitère cette leçon. Bien que les manquements présumés de l’entreprise soient si nombreux qu’ils permettent à la FTC de qualifier ses pratiques de sécurité des données de « de mauvaise qualité », l’agence fait tout son possible pour mentionner les pratiques de conservation des données parmi les lacunes de l’entreprise – et l’entreprise doit désormais supprimer des tas de données sensibles qu’elle détenait de manière inappropriée. Cela pourrait être un aperçu de la façon dont la minimisation des données figurera dans la prochaine itération des règles de la FTC, attendue ce trimestre.
Événements à venir :
- 7 février, 13 h HE : le Conseil de l’industrie des technologies de l’information accueille L’intersection: Un Sommet Tech + Politique (Retournement du Capital).
- 15 février, 11 h HE : IAPP héberge une conversation LinkedIn Live, Payer ou OK: Considérations pratiques pour l’AdTech et au-delà.
Veuillez envoyer vos commentaires, mises à jour et flux de travail de gouvernance à [email protected].
