
Dans cet article (4)
Le paquet de loi KIDS Act fait de la sécurité des enfants un problème de conception de produit
Points clés
- Traitez la conformité en matière de sécurité des jeunes comme une architecture produit, et pas seulement comme une mise à jour de l’avis de confidentialité.
- Cartographiez les flux de données des mineurs dans la publicité, les recommandations, la personnalisation et la mémoire des chatbots avant les modifications du texte au Sénat.
- Ne considérez pas l’adoption par la Chambre comme une loi applicable, mais utilisez-la pour prioriser dès maintenant les audits de conception.
La confidentialité des jeunes, la conception des plateformes et la sécurité des chatbots d’IA avancent au Congrès comme un seul ensemble, et c’est là que le travail de conformité devient concret.
Un projet de loi sur la sécurité des enfants qui exigerait seulement une nouvelle politique de confidentialité serait assez simple : mettre à jour l’avis, ajouter un parcours de consentement, former le support, puis passer à autre chose. La Chambre a adopté quelque chose de moins net. Le paquet législatif Kids Internet and Digital Safety Act traite la confidentialité des jeunes, la conception des plateformes et la sécurité des chatbots d’IA comme des parties d’une même surface de conformité. Cela signifie que les chefs de produit, les équipes de modèles et les responsables des systèmes publicitaires devraient tous lire le même suivi législatif, ce qui est une phrase conçue pour ruiner trois calendriers à la fois.
Le vote est réel, les obligations pas encore
Selon The Hill, la Chambre a adopté le Kids Internet and Digital Safety Act par 267 voix contre 117, avec 47 membres n’ayant pas voté. Le même article indique que le paquet s’inspire de parties de 14 projets de loi sur la sécurité numérique et a avancé dans le cadre de la suspension des règles, une procédure accélérée exigeant une majorité des deux tiers. Hooper Lundy avait indiqué plus tôt que la commission de l’Énergie et du Commerce de la Chambre avait fait progresser un vaste paquet comprenant le KIDS Act et COPPA 2.0, l’envoyant vers l’examen en séance plénière. Maintenant, selon The Hill, le paquet se dirige vers le Sénat, où les modifications apportées par la Chambre à KOSA et à d’autres dispositions s’annoncent difficiles à faire adopter.
Voici la distinction ennuyeuse mais importante : l’adoption par la Chambre n’est pas une échéance de conformité exécutoire. Aucune première amende n’est inscrite au calendrier, car aucune loi fédérale finale issue de ce paquet n’est en vigueur. Pourtant, attendre le texte final avant de cartographier les systèmes concernés est un bon moyen de découvrir que vos signaux d’âge, votre logique de ciblage publicitaire et l’architecture de mémoire de votre chatbot ont été construits par des équipes séparées qui ne partagent pas de tableur.
Un seul paquet, trois chantiers de conformité
NBC News rapporte que le KIDS Act exigerait de nouvelles fonctionnalités de sécurité et de contrôle parental sur les plateformes en ligne, limiterait l’utilisation des données des mineurs pour la publicité ciblée, imposerait une vérification de l’âge pour les sites pornographiques et établirait de nouvelles règles pour les chatbots d’IA et les jeux en ligne. The Hill décrit de façon similaire des dispositions sur la vérification de l’âge, les chatbots d’IA, la protection des données et la sensibilisation aux ventes de drogues sur les réseaux sociaux. TechPolicy.Press note que H.R. 7757 s’appuie sur des versions de KOSA et de COPPA 2.0, des textes débattus dans les deux chambres sous différentes formes depuis plus de quatre ans.
Cette structure est importante, car elle regroupe plusieurs catégories de conformité bien connues en un seul problème de produit. Les équipes confidentialité peuvent rédiger une politique de minimisation des données, mais les limites de la publicité ciblée vivent dans les systèmes de classement, les outils de création d’audiences et les outils de campagne. Les équipes confiance et sécurité peuvent décrire les contrôles parentaux, mais l’obligation concrète devient une interface de paramètres, un état par défaut et un chemin de support. Les équipes IA peuvent promettre des chatbots plus sûrs, mais la question pour les juristes sera de savoir ce que le système mémorise, ce qu’il divulgue et comment il se comporte lorsqu’un mineur se trouve de l’autre côté de la conversation.
La sécurité des chatbots entre dans les règles d’interface
La fiche d’une page du Youth AI Privacy Act du sénateur Edward Markey indique que plus de la moitié des jeunes utilisent des chatbots d’IA plusieurs fois par mois, et elle présente le projet de loi autour de fonctionnalités de conception et de garanties de confidentialité pour les mineurs. Cette fiche décrit des avis clairs et répétés indiquant qu’un chatbot d’IA n’est pas humain, ainsi que des restrictions de mémoire permettant aux chatbots d’utiliser uniquement des données récemment collectées pour personnaliser les réponses à un mineur. NBC News rapporte que le paquet de la Chambre inclut des règles encadrant les chatbots d’IA, tandis que la FTC a séparément annoncé une enquête sur les chatbots d’IA agissant comme compagnons.
Il ne faut pas interpréter cela trop largement comme un règlement fédéral définitif sur les chatbots. Il vaut mieux y voir un signal sur l’endroit où le Congrès situe le risque : non seulement dans les données collectées, mais aussi dans les mécanismes de produit qui encouragent l’attachement, la personnalisation et l’usage répété. Pour les concepteurs, l’inventaire pratique commence par la détection des mineurs, les informations affichées lors de l’inscription, les durées de conservation de la mémoire conversationnelle, les voies d’escalade et la question de savoir si les fonctionnalités de type compagnon peuvent être séparées des fonctionnalités générales d’assistant. Si votre chatbot ne peut pas expliquer quand il personnalise pour un mineur, votre politique de confidentialité n’est pas le principal document qui pose problème.
Ce que les concepteurs devraient faire avant l’arrivée des modifications du
The Hill indique que la bataille au Sénat sera difficile, et NBC News rapporte que des groupes de défense des droits numériques et des technologies ont mis en garde contre des risques pour la confidentialité et la liberté d’expression. Cela signifie que la forme finale peut changer, surtout concernant la vérification de l’âge et les obligations des plateformes. L’erreur serait de traiter l’incertitude comme une permission de ne rien faire. Le choix le plus sûr consiste à séparer ce que le texte de la Chambre semble viser de ce que votre produit actuel peut réellement prouver.
Commencez par trois audits, dont aucun n’exige de faire comme si le projet de loi était déjà en vigueur. Premièrement, cartographiez les endroits où votre service sait, déduit ou évite de savoir qu’un utilisateur est mineur. Deuxièmement, identifiez chaque endroit où les données des mineurs influencent le ciblage, les recommandations, la personnalisation ou les réponses des chatbots. Troisièmement, testez si les contrôles parentaux, les paramètres de sécurité par défaut et les informations sur l’IA sont de véritables états du produit plutôt que du texte dans un centre d’aide. Si le Sénat réduit la portée du paquet, ce travail restera utile ; s’il l’élargit, il deviendra la première page du plan de remédiation.
Le débat sur la sécurité des enfants est généralement présenté comme un argument de valeurs, mais la conformité prend la forme d’un schéma de systèmes. Les plateformes, les services edtech, les fabricants de jeux et les développeurs de chatbots d’IA devraient surveiller le texte du Sénat, pas les tours d’honneur. La prochaine vraie question n’est pas de savoir si le Congrès aime les produits plus sûrs. C’est de savoir quels choix de conception deviennent des obligations légales, et si votre équipe peut les modifier sans reconstruire le produit en public.