Kentucky AG intente un procès contre un chatbot IA pour violation de la loi sur la protection des données
Le 8 janvier, le procureur général du Kentucky a annoncé son premier procès pour violations de la Kentucky Consumer Data Protection Act (KCDPA) contre une entreprise de chatbot d’intelligence artificielle (IA). La plainte allègue que le défendeur a enfreint la KCDPA par des actes et pratiques injustes, faux ou trompeurs, ainsi que par la collecte et l’exploitation injustes des données des enfants.
Contexte
Le défendeur a conçu, construit, commercialisé et distribué un chatbot IA présenté comme un produit de divertissement interactif. Selon la plainte, l’entreprise compte plus de 20 millions d’utilisateurs actifs mensuels et plus de 180 millions de visiteurs mensuels sur son site web. L’application permet aux utilisateurs de créer, personnaliser et converser avec des millions de chatbots, y compris des personnages fictifs bien connus. Les utilisateurs peuvent interagir avec ces personnages IA via des chats textuels ou des appels audio.
Allégations
La plainte affirme que les fonctionnalités de la plateforme sont dangereuses pour les enfants, avec une création de compte facile et un manque de vérification d’âge efficace. Le procureur général souligne que les chatbots imitent des humains et que la conception de la plateforme, associée à l’absence de garde-fous, peut causer des dommages graves. De plus, des filtres de chat inefficaces exposent les utilisateurs à des contenus nuisibles, tels que des conversations à caractère sexuel, la promotion d’idées suicidaires ou d’automutilation, ainsi que l’encouragement à l’usage de drogues et d’alcool.
La majorité de la plainte se concentre sur des allégations selon lesquelles le défendeur a violé la loi générale sur la protection des consommateurs du Kentucky. Le procureur général affirme que le défendeur a engagé des actes et pratiques injustes, faux ou trompeurs et qu’il a collecté et exploité les données des enfants de manière injuste, sans mettre en place des mécanismes de consentement parental vérifiables.
Données personnelles des enfants
La KCDPA, entrée en vigueur le 1er janvier, exige que les entreprises obtiennent d’abord un consentement parental vérifiable pour traiter les données personnelles d’un enfant. Pour obtenir ce consentement, une entreprise doit (1) informer le parent des pratiques de collecte, d’utilisation et de divulgation des données personnelles, et (2) obtenir l’autorisation du parent pour toute collecte, utilisation ou divulgation des données. Le procureur général allègue que le défendeur ne fournit pas d’avis adéquat ni ne collecte le consentement parental en conformité avec ces exigences.
Remèdes demandés
Il est à noter que le procureur général ne demande que des mesures injonctives, sans indemnités monétaires pour sa réclamation KCDPA. Avant d’entamer toute action pour violations de la KCDPA, le procureur général doit fournir un préavis écrit de 30 jours concernant les dispositions spécifiques que l’entreprise enfreint et permettre à l’entreprise de corriger les violations alléguées.
Dans son annonce, le procureur général a déclaré : « Les États-Unis doivent être un leader dans le développement de l’IA, mais cela ne peut se faire au détriment de la vie de nos enfants ». Le timing de ce procès montre clairement que le procureur général était prêt à faire respecter la KCDPA.