La réglementation actualisée de l'ACCP est approuvée par l'Office californien du droit administratif (California Office of Administrative Law)

L'Office californien du droit administratif a donné son aval à la mise à jour des règlements de l'ACCP approuvée par l'Agence californienne de protection de la vie privée en juillet 2025, et les règlements révisés seront désormais publiés dans le Code californien des règlements (CCR). Les règlements révisés comprennent de nouveaux règlements sur la technologie de prise de décision automatisée (ADMT), qui comprend plus que l'utilisation de l'intelligence artificielle, les évaluations des risques et les audits de cybersécurité, ainsi que des mises à jour et des clarifications des règlements existants dans des domaines tels que les avis de confidentialité, les accords avec les fournisseurs de services et d'autres exigences réglementaires. Les réglementations révisées comprennent également de nouvelles réglementations destinées uniquement aux compagnies d'assurance. 

Les modifications apportées aux règlements existants entrent en vigueur le 1er janvier 2026. Toutefois, certaines nouvelles exigences concernant les SMA, les évaluations des risques et les audits de cybersécurité ont des dates d'entrée en vigueur plus tardives :

• Les dates d'entrée en vigueur des audits de cybersécurité dépendent du chiffre d'affaires annuel de l'entreprise, les dates de conformité étant le 1er avril 2028 pour les entreprises dont le chiffre d'affaires est supérieur à 100 millions de dollars, le 1er avril 2027 pour les entreprises dont le chiffre d'affaires est compris entre 50 et 100 millions de dollars, et le 1er avril 2030 pour les entreprises dont le chiffre d'affaires est inférieur à 50 millions de dollars. 
• Les entreprises qui sont tenues d'effectuer une évaluation des risques en vertu des règlements révisés doivent commencer à s'y conformer le 1er janvier 2026, mais ne sont pas tenues de fournir une attestation selon laquelle l'évaluation des risques a été effectuée et un résumé de ses conclusions avant le 1er avril 2028. 
• Les entreprises qui utilisent la technologie ADMT pour prendre des décisions importantes ne sont pas tenues de se conformer à la nouvelle réglementation ADMT avant le 1er janvier 2027. 

Impact sur les entreprises

Il convient de rappeler aux entreprises que toutes les nouvelles réglementations ne leur seront pas applicables. Il y a certains seuils pour que chacune des nouvelles réglementations sur l'ADMT, l'évaluation des risques et l'audit de cybersécurité soit applicable. Par exemple, le règlement sur la GAD ne s'applique que si la GAD (qui, encore une fois, ne se limite pas à l'utilisation de l'intelligence artificielle et peut s'appliquer à d'autres technologies plus traditionnelles) est utilisée pour des "décisions importantes", telles que définies dans le règlement. Les entreprises devraient examiner quelles sont, le cas échéant, les nouvelles réglementations qui s'appliquent à elles (et qui peuvent s'appliquer à elles à partir des dates d'entrée en vigueur applicables), et commencer à planifier leur mise en conformité le cas échéant. 

Bien que certaines des dates d'entrée en vigueur puissent se situer dans plus de quatre ans (pour les entreprises relativement petites soumises aux exigences d'audit de cybersécurité), certaines des nouvelles réglementations peuvent nécessiter une certaine planification et des ressources qui bénéficieraient d'un démarrage anticipé. En revanche, les entreprises relativement grandes (celles dont le chiffre d'affaires annuel est supérieur à 100 millions de dollars) disposent probablement d'une infrastructure informatique importante, et la courte période (moins de trois ans) pour réaliser les audits de cybersécurité passera rapidement. Ces entreprises devront allouer des ressources immédiatement pour respecter les délais. 

L'Agence californienne de protection de la vie privée (CPPA) a annoncé aujourd'hui que l'Office californien du droit administratif a approuvé les règlements relatifs aux audits de cybersécurité, aux évaluations des risques, à la technologie de prise de décision automatisée (ADMT), aux compagnies d'assurance et aux mises à jour des règlements existants de la CCPA.

Voir l'article référencé