Mise à jour sur la législation californienne concernant l’IA et la confidentialité – Janvier 2026
La nouvelle année commence sur les chapeaux de roues. Février approche, et les entreprises commencent à s’installer en 2026, avec des tendances émergeant progressivement. Les entreprises digèrent les projets de loi sur l’IA et la confidentialité qui ont été adoptés à l’automne dernier.
California Invasion of Privacy Act (CIPA)
Le contentieux lié au CIPA ne montre aucun signe de ralentissement. L’échec du projet de loi SB 690 et un nouveau délai d’une année semblent alimenter les litiges dans ce domaine. Au 21 janvier 2026, 40 violations de données touchant plus de 500 résidents californiens ont été signalées au procureur général de Californie, contre 23 pour la même période en 2025. Les litiges collectifs en matière de confidentialité suivent généralement rapidement ces signalements, suggérant que 2026 sera une année encore plus active dans ce domaine.
Révisions nécessaires
Les enquêtes des régulateurs suivent également. Le début de l’année est un bon moment pour revoir le Written Information Security Program (WISP) et confirmer la mise en œuvre appropriée des systèmes et mesures qui en découlent. Il est également judicieux de revoir et, si nécessaire, de mettre à jour les avis de confidentialité sur les sites web, de s’assurer que les gestionnaires de consentement et les mécanismes de désinscription fonctionnent comme prévu, et de réaliser des formations sur la confidentialité et la cybersécurité. Ce qui est ancien devient nouveau, au moins chaque janvier.
Focus de l’Agence californienne de protection de la vie privée
L’Agence californienne de protection de la vie privée continue de se concentrer sur les courtiers de données et, avec la disponibilité de la Delete Request and Opt-Out Platform (DROP), devrait intensifier l’application des lois en 2026. La mise en œuvre de DROP pourrait ne pas être entièrement directe, donc un plan de projet détaillé et une liste de contrôle sont recommandés.
Réglementations sur la confidentialité des consommateurs
Les réglementations mises à jour du California Consumer Privacy Act de 2018 sont entrées en vigueur le 1er janvier 2026. Ces réglementations exigent désormais, entre autres, des audits annuels de cybersécurité, des évaluations des risques liés à la confidentialité des données, et des avis préalables et d’autres exigences pour les technologies de décision automatisées, généralement avec des dates de début échelonnées en fonction de la taille de l’entreprise.
Session législative de 2026
La législature californienne s’est réunie à nouveau le 5 janvier 2026. Étant donné que nous sommes dans la deuxième année de la session biennale 2025-2026, les législateurs peuvent introduire de nouveaux projets de loi et/ou essayer de faire progresser des projets de loi introduits lors de la première année qui n’ont pas atteint le bureau du gouverneur. Par exemple, quelques projets de loi ont été bloqués au sein de la Commission de protection de la vie privée et des consommateurs après avoir été approuvés par le Sénat :
- SB 690 : Un acte visant à amender plusieurs sections du Code pénal, cherchant à résoudre les conflits entre le CIPA et le CCPA.
- SB 420 : Exigeait des développeurs de systèmes de décision automatisés à haut risque de réaliser des évaluations d’impact avant de rendre le système public.
La session législative actuelle se termine le 31 août 2026.
Nouvelles lois sur l’IA et la confidentialité
Les lois sur l’IA et la confidentialité suivantes sont entrées en vigueur le 1er janvier 2026 :
- AB 316 (Intelligence artificielle : défenses)
- AB 566 (CCPA : signal de préférence de désinscription)
- AB 853 (Loi sur la transparence de l’IA en Californie)
- SB 53 (Modèles d’intelligence artificielle : développeurs importants)
- SB 243 (Chatbots compagnons)
- SB 361 (Enregistrement des courtiers de données : collecte de données)
- SB 446 (Amendement concernant la notification des violations de données)
La loi AB 566 exige que les navigateurs web incluent un paramètre clair et simple permettant aux utilisateurs d’envoyer un signal de préférence de désinscription. La loi AB 853 impose de nouvelles obligations de transparence et de divulgation sur les systèmes d’IA générative, en modifiant l’actuelle loi sur la transparence de l’IA en Californie. Sur une échelle plus large, la loi SB 53 exige que les grands développeurs d’IA publient des cadres de gestion des risques et signalent les incidents de sécurité catastrophiques à l’État.
Notification des violations de données
La loi SB 446 impose la notification des violations de données aux résidents californiens concernés dans les 30 jours calendaires suivant la découverte ou la notification de la violation, avec des exceptions habituelles. Un rapport de notification de violation doit être soumis au procureur général de Californie dans les 15 jours suivant la notification des personnes concernées.
Projets de loi sur l’IA et la confidentialité
Un certain nombre de nouveaux projets de loi sur l’IA et la confidentialité ont été introduits :
- SB 300, SB 867, et AB 1609 : Nouveaux projets de loi sur les chatbots.
- AB 1064 (Loi sur le développement éthique de l’IA pour les enfants) a été veto par le gouverneur Newsom l’automne dernier.
- Un nouveau projet de loi, Parents & Kids Safe AI Act, a été introduit et des signatures sont désormais recherchées pour le mettre sur le bulletin en novembre 2026.
Il est possible que la législature californienne introduise, et que le gouverneur Newsom signe, de nouvelles législations sur ce sujet, suivant le parcours du CCPA, qui était à l’origine une proposition de mesure sur le bulletin.
La loi AB 1542 (un acte visant à modifier certaines sections du Code civil concernant la confidentialité) interdirait, en vertu du CCPA, à une entreprise, un fournisseur de services ou un sous-traitant de vendre ou de partager des informations personnelles sensibles avec un tiers. La loi actuelle permet au consommateur de se désinscrire de la vente ou du partage d’informations personnelles et de limiter l’utilisation et la divulgation des informations personnelles sensibles à certaines utilisations définies par la loi. AB 1542 pourrait être examinée en commission le 5 février 2026.
Restez à l’écoute. L’année 2026 promet d’être une année intéressante en Californie.