Incidents associés
Le 18 septembre, le procureur général du Texas a annoncé un accord à l'amiable avec Pieces Technologies, Inc. (« Pieces »), une société de recherche et développement en intelligence artificielle (IA) pour le secteur de la santé basée à Dallas. Cet accord met fin aux allégations selon lesquelles l'entreprise aurait fait des déclarations fausses, trompeuses ou mensongères concernant la précision de ses produits d'IA pour la santé. D'après le bureau du procureur général du Texas, l'entreprise a présenté ses produits d'IA de manière inexacte, ce qui aurait potentiellement nui à des patients. L'accord conclu entre le bureau du procureur général du Texas et Pieces comprend des obligations de transparence liées à la commercialisation et à la publicité de ses produits ou services, l'interdiction de toute fausse déclaration (notamment concernant l'indépendance des personnes qui approuvent ou évaluent un produit ou un service) et des obligations de documentation relatives aux utilisations potentiellement dangereuses de ses produits ou services.
Cet accord est important à plusieurs égards. Premièrement, il renforce la position du bureau du procureur général du Texas en tant qu'autorité de régulation à laquelle les entreprises d'IA doivent être attentives en matière de protection des données. Il s'agit de la dernière d'une série d'actions menées par ce bureau en matière de protection de la vie privée, et il est probable que le Texas intensifiera son action à l'avenir. Deuxièmement, cet accord ajoute les procureurs généraux des États à la liste des organismes de réglementation que les entreprises d'IA doivent prendre en compte lors du développement et du déploiement de leurs produits (en plus de la Federal Trade Commission (FTC), qui s'est montrée très active sur ces questions). Enfin, il souligne que le risque de poursuites réglementaires dans le domaine de l'IA (comme c'est le cas pour les actions en matière de protection de la vie privée en général) sera plus élevé pour les entreprises dont les produits sont destinés à collecter des informations sensibles lors de leur développement.
Dans cet article, nous résumons l'accord conclu par Pieces et identifions les principaux enseignements de ce règlement. Pour rester informé(e) des évolutions importantes en matière de législation sur la protection de la vie privée au niveau des États, veuillez vous abonner au blog de WilmerHale consacré au droit de la protection de la vie privée et de la cybersécurité.
I. Résumé de la plainte
La plainte allègue que Pieces a fait des déclarations fausses, trompeuses ou mensongères concernant une série de mesures et de points de référence censés démontrer la grande précision des résultats de ses produits d'IA générative. Le procureur général du Texas a soutenu que les déclarations de Pieces violaient la loi sur les pratiques commerciales trompeuses (DTPA), articles 17.41 à 17.63 du Code des affaires et du commerce du Texas. Pieces développe des produits d'intelligence artificielle (IA) destinés aux établissements de soins hospitaliers. Son offre comprend une documentation clinique autonome générée par l'IA. Selon l'accord, les produits de Pieces « sont conçus pour aider les médecins et autres professionnels de santé à soigner leurs patients ». Lors de la commercialisation de ses produits, Pieces a affirmé qu'ils présentaient un taux d'« hallucinations » minimal, un terme désignant les produits d'IA générative produisant des résultats incorrects ou trompeurs. D'autres déclarations faites aux consommateurs potentiels affirmaient que ses produits étaient « extrêmement précis », avec un « taux d'hallucinations sévères » inférieur à 0,001 % et inférieur à 1 pour 100 000. Ces affirmations ont incité quatre grands hôpitaux texans à fournir les données de santé de leurs patients à Pieces afin d'obtenir des résultats d'IA comprenant des résumés des pathologies et des plans de traitement des patients.
Le procureur général du Texas soutient que les publicités de Pieces étaient inexactes et ont pu induire en erreur les équipes soignantes quant à la fiabilité et à la sécurité de ses services, dans le but de stimuler la demande. De plus, il explique qu'en faisant des déclarations prétendument inexactes sur ses produits tout en utilisant les données de santé en temps réel des patients, Pieces a mis en péril l'intérêt public.
II. Accord stipulé
Aux termes de l'accord stipulé, Pieces s'engage à respecter les points suivants :
Informations claires et visibles dans le marketing et la publicité
Pieces doit fournir des informations claires et visibles dans le cadre du marketing et de la publicité de ses produits et services pendant cinq ans. Ces informations sont obligatoires lorsque Pieces fait des déclarations, directes ou indirectes, concernant des indicateurs, des points de référence ou des mesures similaires décrivant les résultats de ses produits d'IA générative. Dans ce cas, Pieces doit divulguer la signification et la définition de l'indicateur, du point de référence ou de la mesure similaire, ainsi que la méthode, la procédure ou tout autre processus utilisé pour calculer cet indicateur, ce point de référence ou cette mesure similaire dans le cadre du marketing ou de la publicité de ses produits et services. L'accord prévoit une alternative à ce type de divulgation si Pieces fait appel à un auditeur tiers indépendant dont les conclusions corroborent les allégations marketing ou publicitaires de Pieces.
Interdiction permanente de toute déclaration fausse, trompeuse ou non fondée concernant un produit ou un service
Il est interdit à Pieces de faire de fausses déclarations concernant un produit ou un service, notamment en ce qui concerne son exactitude, ses méthodologies de test, ses procédures de surveillance, ses définitions ou la signification des indicateurs et des données d'utilisation. L'accord interdit également d'induire les consommateurs ou les utilisateurs en erreur quant à l'exactitude, la fonctionnalité, la finalité ou toute autre caractéristique de ses produits, ou d'omettre les accords financiers ou similaires conclus par les personnes participant à la promotion de produits ou de services.
Obligation de divulguer toute utilisation potentiellement nuisible ou abusive des produits ou services
L'accord exige que Pieces divulgue aux consommateurs toute utilisation nuisible ou potentiellement nuisible ou abusive connue de ses produits ou services. Pieces sera tenue de documenter le type de données et/ou de modèles utilisés pour l'entraînement de ses produits et services, et d'expliquer leur finalité. Divulguer toute limitation connue ou raisonnablement connaissable de ses produits ou services, y compris les risques pour les patients et les professionnels de santé liés à leur utilisation, tels que le risque de préjudice physique ou financier dû à des résultats inexacts ; divulguer les utilisations abusives potentielles susceptibles d’accroître le risque de résultats inexacts ou de préjudice ; et fournir aux utilisateurs les informations nécessaires pour prévenir toute utilisation abusive du produit ou du service.
III. Points clés
- Les entreprises d’IA qui traitent des données sensibles doivent être particulièrement vigilantes face au contrôle réglementaire.
Il n’est pas surprenant que cette action coercitive ait visé une entreprise traitant des données de santé sensibles concernant des consommateurs. Les données sensibles (y compris les données de santé) ont fait l’objet d’une attention particulière de la part des autorités de réglementation en matière de protection de la vie privée ces dernières années. Il est probable que les entreprises d’IA qui traitent des données sensibles dans le cadre du développement et du déploiement de leurs produits seront particulièrement surveillées par les autorités de réglementation.
- Les procureurs généraux des États s’intéressent également à l’IA.
La FTC s'est montrée très active sur les questions d'IA ces dernières années, tant par ses actions coercitives que par ses documents d'orientation. Cette action coercitive du bureau du procureur général du Texas montre que les entreprises d'IA doivent également composer avec les procureurs généraux des États. À certains égards, les États peuvent s'avérer plus complexes pour ces entreprises, car nombre d'entre eux disposent de lois exhaustives sur la protection de la vie privée qui leur imposent des obligations explicites quant à l'utilisation des données personnelles (ce qui peut avoir une incidence sur les données disponibles pour l'entraînement des IA).
- Les autorités de réglementation exigent transparence, fiabilité et responsabilité des outils d'IA ayant accès aux données personnelles.
Les entreprises qui mettent en avant la précision de leurs produits d'IA doivent s'attendre à un renforcement du contrôle réglementaire. Les autorités se concentreront probablement sur les entreprises d'IA ayant accès à des données personnelles à haut risque. Lorsque des données de santé, notamment des informations personnelles hautement confidentielles, sont menacées, les entreprises d'IA qui les traitent doivent faire preuve de sincérité, d'exactitude et assumer la responsabilité de leurs déclarations. Parallèlement, les entreprises ayant accès à des données personnelles et faisant appel à des fournisseurs d'outils d'IA doivent examiner attentivement ces fournisseurs afin de s'assurer de leur conformité aux normes de pratique.