Les entreprises doivent se préparer rapidement à l’application des lois nationales sur la protection de la vie privée. Le total des amendes pour atteinte à la vie privée dans les 50 États a grimpé à 3,4 milliards de dollars en 2025, contre 1,8 milliard de dollars en 2024, selon une analyse récente de Gartner, une société d’études de marché technologique.
À titre de comparaison, le total n’était que de 1,2 million de dollars en 2023, avant qu’une frénésie de nouvelles mesures coercitives de l’État ne décolle. Les sanctions frappent les entreprises de toutes tailles et de tous secteurs : soins de santé, finance, logiciels, communications, assurances, divertissement, vente au détail, technologie, droit, publicité, etc.
Les paiements proviennent à la fois d’amendes imposées par l’État et de poursuites intentées en vertu de ces lois par les parties lésées. Les lois des États consacrent les droits des consommateurs et la protection des données que les entreprises doivent respecter. Gartner indique que 22 États ont adopté une législation sur la protection de la vie privée visant les droits des consommateurs et que 24 autres devraient adopter une législation sur la protection de la vie privée au cours des cinq prochaines années.
Les réglementations nationales liées à l’utilisation de l’IA se développent également rapidement. Plus de 100 lois d’État couvrant l’intelligence artificielle ont été adoptées l’année dernière, tandis que les agences d’État ont également publié de nouvelles directives liées à l’IA. Par exemple, en Californie, leader en matière de respect de la vie privée, une règle couvre la prise de décision automatisée en matière de recrutement et d’emploi.
« De nombreuses organisations ont laissé leurs politiques de confidentialité s’atrophier », explique Nader Henein, analyste chez Gartner qui a compilé les données. De nombreux programmes de confidentialité ont été mis en œuvre il y a des années lorsque la Californie a adopté sa vaste loi sur la confidentialité en 2018, qui a été promulguée en 2020. Cette loi historique offre aux consommateurs le droit de connaître les informations personnelles collectées auprès d’eux et la manière dont elles sont utilisées ; le droit de supprimer les informations personnelles collectées par la société ; et le droit de refuser la vente ou le partage d’informations personnelles.
Application notable de la California Privacy Protection Agency en 2025
- Amende de 1,35 million de dollars contre Tractor Supply
- Amende de 345 178 $ contre Todd Snyder Inc., un détaillant de vêtements
- Amende de 632 500 $ contre l’américain Honda Motor Co.
- Arrêt forcé de Background Alert, un courtier de données
« Les entreprises devraient dépoussiérer leur programme de protection de la vie privée et évaluer s’il fonctionne », déclare Henein. Ils devraient vérifier que ces politiques sont mises en œuvre et couvrir les nouvelles règles en cours de déploiement. Gartner recommande également de se concentrer sur l’expérience utilisateur en ligne, car la plupart des violations proviennent de l’interface utilisateur de confidentialité, comme les avis de confidentialité des sites Web.
Les entreprises exerçant leurs activités dans plusieurs États devraient par défaut adopter celui dont les règles sont les plus strictes. Par exemple, si les consommateurs ont droit à leurs données personnelles dans les 45 jours suivant leur demande dans un État et 30 jours dans un autre, l’objectif devrait être de 30 jours dans tous les domaines, explique Henein. En pratique, cela pourrait signifier une politique de 20 jours pour garantir la conformité.
« La plupart des entreprises spécialisées dans le commerce avec les particuliers ont acheté des logiciels de protection de la vie privée », explique Henein. Les fournisseurs incluent OneTrust, TrustArc, Osano ou TrueVault, et le logiciel inclut souvent une gouvernance liée à l’IA. Nader affirme que les entreprises interentreprises et les petites entreprises qui s’adressent aux consommateurs peuvent utiliser une approche plus fragmentaire.
Ces coûts croissants de mise en conformité attireront certainement l’attention du Congrès. Mais une loi fédérale qui prévaudrait sur les États est peu probable dans un avenir proche, laissant les entreprises confrontées à une mosaïque de lois étatiques.
Contenu connexe
- Comment protéger votre vie privée lorsque vous utilisez l’IA
- L’essor rapide de l’IA suscite de nouvelles cybermenaces
- De nouvelles façons de protéger vos comptes en ligne
- Je laisse AI lire les politiques de confidentialité pour moi. Voici ce que j’ai appris