La proposition de loi présentée par les sénateurs américains Josh Hawley et Richard Blumenthal, intitulée AI Accountability and Personal Data Protection Act, constitue une initiative législative majeure visant à instaurer une responsabilité civile fédérale pour l’exploitation non autorisée des données personnelles, en particulier dans le contexte de l’intelligence artificielle générative.
Ce texte ambitieux s’inscrit dans une dynamique globale de renforcement des protections accordées aux individus face aux usages commerciaux et technologiques massifs de leurs données, et il témoigne d’un infléchissement notable du droit américain vers une approche plus centrée sur les droits des personnes.
Le projet de loi entend ériger en délit civil fédéral toute appropriation, utilisation, collecte, traitement, vente ou exploitation des données personnelles d’un individu réalisée sans son consentement exprès et préalable. La responsabilité ainsi instaurée s’appliquerait aux activités ayant une incidence sur le commerce interétatique ou international, ce qui confère au texte une portée particulièrement large dans le contexte d’un marché numérique mondialisé.
Ce dispositif vise expressément les systèmes d’intelligence artificielle dits « génératifs », capables de produire des textes, images, vidéos ou sons à partir de données saisies par les utilisateurs. En ciblant cette catégorie d’IA, le législateur américain répond aux inquiétudes suscitées par l’entraînement des modèles d’apprentissage automatique sur des volumes massifs de données souvent collectées sans information ni consentement des personnes concernées.
Le texte propose un ensemble de définitions qui en délimitent la portée et révèlent la volonté du législateur de traiter de manière exhaustive la question des données personnelles dans l’écosystème numérique. Ainsi, les « données couvertes » (covered data) englobent toutes informations permettant d’identifier une personne, directement ou indirectement. Sont visées tant les données personnelles identifiables que les données biométriques, les historiques de navigation, la géolocalisation et les données comportementales, mais également les contenus protégés par le droit d’auteur, ce qui inclut les créations artistiques et intellectuelles susceptibles d’être intégrées dans des corpus d’entraînement.
Le texte définit également les systèmes d’intelligence artificielle générative comme tout système d’IA capable de créer un contenu original à partir de données d’entrée fournies par un utilisateur. Cette définition vise à couvrir l’ensemble des technologies émergentes susceptibles d’exploiter les données personnelles à des fins de génération automatisée de contenus.
Enfin, le consentement exigé est qualifié d’« exprès et préalable », ce qui implique une manifestation claire, affirmative et non équivoque de la volonté de la personne concernée. Le projet écarte expressément toute forme de consentement implicite ou obtenu par défaut, en imposant une transparence accrue et une granularité dans la gestion des autorisations.
Le projet de loi consacre un principe de responsabilité civile applicable à toute personne physique ou morale procédant à l’exploitation des données couvertes sans avoir recueilli le consentement requis. Cette responsabilité s’étend également aux situations dans lesquelles une entité aide ou encourage une telle exploitation ou en bénéficie indirectement, par exemple en fournissant des outils ou des services facilitant l’utilisation non autorisée des données.
Les individus lésés bénéficieraient d’un droit d’action directe devant les juridictions fédérales ou étatiques compétentes. Les réparations prévues par le texte sont significatives et visent à dissuader les atteintes : elles comprennent des dommages compensatoires, calculés soit sur la base des pertes effectives subies, soit, au choix du demandeur, au triple des profits indûment réalisés, avec un montant minimal de 1 000 dollars. Des dommages-intérêts punitifs peuvent également être prononcés en fonction de la gravité des violations. Le juge est en outre habilité à ordonner des mesures injonctives destinées à faire cesser les pratiques illicites et à imposer le remboursement des frais d’avocat et des coûts de procédure supportés par la victime.
Le projet de loi rend nulles et inopposables les clauses contractuelles qui imposeraient un arbitrage préalable (pre-dispute arbitration agreements) ou qui restreindraient le droit d’intenter des actions collectives (pre-dispute joint-action waivers). Cette approche, relativement rare dans le contexte juridique américain, manifeste une volonté de garantir un accès effectif des justiciables aux juridictions étatiques et fédérales.
La proposition de loi précise qu’elle ne préempte pas les législations des États fédérés. Ces derniers conservent la faculté d’adopter ou de maintenir des dispositions offrant une protection plus étendue des données personnelles.
Le texte s’inscrit ainsi comme un standard minimal au niveau fédéral, laissant aux États le soin d’aller au-delà des exigences posées. Cette articulation ménage le principe du fédéralisme tout en assurant une cohérence minimale dans la protection des droits à l’échelle nationale.
Ce projet de loi traduit une évolution notable du droit américain vers une meilleure protection des données personnelles, en particulier dans le domaine de l’intelligence artificielle. Il présente plusieurs points de convergence avec le règlement général sur la protection des données (RGPD) européen, notamment la primauté du consentement explicite, l’exigence d’une information transparente et la possibilité d’actions collectives.
Pour les entreprises opérant dans le secteur de l’IA, ce texte, s’il était adopté, impliquerait une révision profonde des pratiques de collecte et d’exploitation des données. Il imposerait la mise en place de mécanismes de gestion du consentement plus stricts et une vigilance accrue quant aux risques contentieux, compte tenu de l’ouverture des voies de recours civiles et de l’exclusion des clauses d’arbitrage.
Pour les individus et titulaires de droits, la proposition constitue une avancée substantielle en leur permettant de reprendre le contrôle sur l’utilisation de leurs données et créations, tout en leur offrant des outils juridictionnels renforcés pour faire valoir leurs droits.
Le AI Accountability and Personal Data Protection Act pourrait, s’il venait à être adopté, s’affirmer comme un texte fondateur dans la régulation américaine des usages de l’intelligence artificielle et de la protection des données personnelles. En érigeant des obligations strictes pour les opérateurs de systèmes d’IA et en renforçant les droits des individus, il contribuerait à une redéfinition des équilibres entre innovation technologique et respect des droits fondamentaux. Cette initiative législative, qui s’inscrit dans une tendance mondiale vers une régulation plus exigeante, pourrait également inspirer d’autres juridictions confrontées aux mêmes enjeux.
Cet article a été rédigé par un avocat de droit français. Pour toute opinion juridique relative au droit américain, il convient de consulter un avocat habilité à exercer aux États-Unis.
