Règlement à l'amiable entre la FTC et Rite Aid : Leçons pour un déploiement sûr des outils d'IA

Le 19 décembre 2023, un tournant majeur s'est produit : la Federal Trade Commission (FTC) a conclu un accord à l'encontre du géant de la distribution Rite Aid, mettant en lumière des enjeux cruciaux pour les entreprises évoluant dans le domaine complexe de la biométrie et de l'intelligence artificielle (IA). Cet accord, motivé par des violations présumées de l'article 5 liées à l'utilisation de la biométrie faciale par Rite Aid, souligne les risques accrus et la surveillance renforcée qui entourent le déploiement commercial des technologies de pointe.

L'intervention de la FTC souligne l'urgence pour les entreprises de réévaluer leurs stratégies d'utilisation des outils biométriques et d'IA. L'accord conclu avec Rite Aid offre des pistes de réflexion pour gérer l'évolution du cadre réglementaire, notamment en ce qui concerne les risques liés aux faux positifs et aux préjudices potentiels pour les consommateurs, en particulier les clients issus des minorités.

perspective historique

La chaîne de pharmacies Rite Aid s'est retrouvée impliquée dans une procédure judiciaire, la Commission fédérale du commerce (FTC) ayant exprimé des inquiétudes quant à son utilisation de la biométrie faciale pourdentet dissuader les individus soupçonnés d'intentions criminelles. La FTC a allégué que l'approche de Rite Aid, reposant sur des alertes déclenchées par le système biométrique, manquait de garanties suffisantes, entraînant des faux positifs et exposant les clients issus des minorités à un risque accru.

La Commission a également invoqué une autre réclamation au titre de l'article 5, soulignant le manquement de Rite Aid à une ordonnance de 2010, qui imposait la diligence dans le choix des fournisseurs de services, l'obtention d'assurancestracet le maintien d'un programme écrit de sécurité de l'information.

Spécifications de règlement

Pour régler le problème, Rite Aid a consenti à une ordonnance stipulée imposant des exigences et des restrictions strictes :

Interdiction de la biométrie faciale – Rite Aid risque une interdiction de cinq ans d'utiliser toute forme de biométrie faciale.

Programme de surveillance des systèmes biométriques – L’entreprise doit mettre en place un programme complet couvrant les évaluations des risques avant déploiement, les évaluations continues et les mesures de protection contredentpour les consommateurs.

Restitution des données et des algorithmes – Rite Aid doit supprimer toutes les données issues d'une utilisation inappropriée de la biométrie faciale et en informer les tiers afin qu'ils fassent de même.

Programme de sécurité de l'information – En plus du programme de surveillance du système biométrique, Rite Aid doit mettre en œuvre un programme de sécurité de l'information plus large, validé par des évaluations indépendantes réalisées pardent tiers.

Évaluation et principales implications

L'affaire Rite Aid sonne l'alarme pour les entreprises qui utilisent ou envisagent d'utiliser des outils biométriques ou d'intelligence artificielle. Elle apporte un éclairage précieux sur les domaines d'intervention prioritaires de la FTC et jette les bases d'une approche proactive pour atténuer les risques juridiques. L'accord conclu souligne l'engagement de la Commission à examiner de près la biométrie et l'IA, et incite les organisations à consacrer des ressources aux mesures de conformité et aux programmes de gouvernance.

Les principaux enseignements tirés de la procédure engagée contre Rite Aid soulignent l'importance de mener des évaluations de risques approfondies, de mettre en œuvre des programmes de surveillance rigoureux et de répondre aux préoccupations spécifiques soulevées par la FTC. Endentet en traitant ces problèmes de manière proactive, les entreprises peuvent s'adapter à l'évolution du cadre juridique entourant la biométrie et les technologies d'intelligence artificielle.

Prochaines étapes – Conseils pratiques de conformité pour le déploiement des outils d'IA

L’affaire Rite Aid met non seulement en lumière les pièges à éviter, mais offre également une feuille de route aux entreprises souhaitant améliorer leurs programmes de conformité. Voici quelques conseils pratiques :

Programme de surveillance des systèmes biométriques – Suivez le plan de la FTC, intégrant des évaluations des risques, des évaluations continues et des contrôles adaptés auxdent.

Mécanismes de notification : Mettre en œuvre des mécanismes de notification clairs et transparents, à la fois individualisés et généraux, afin d’informer les personnes concernées sur les systèmes biométriques et les éventuelles actions négatives.

Conservation/destruction des données – Établir et respecter un calendrier de conservation des données biométriques, en assurant la suppression définitive des informations sensibles.

Mécanisme de traitement des plaintes des consommateurs – Créer des voies permettant aux consommateurs de soumettre des plaintes relatives aux résultats du système biométrique, favorisant ainsi un processus réactif d'enquête et de résolution.

Programme de sécurité de l'information – Au-delà de la biométrie, mettre en œuvre un programme complet de sécurité de l'information, régulièrement validé par des évaluations tierces.

Face à l'évolution constante de la réglementation en matière de biométrie et d'IA, l'accord conclu avec Rite Aid offre un modèle de conformité proactive. La question est désormais de savoir comment les entreprises tireront les leçons de cet accord et quelles mesures supplémentaires elles prendront pour garantir le déploiement responsable des technologies de pointe dans un contexte de surveillance réglementaire accrue.