La Massachusetts Gaming Commission a approuvé la confidentialité des données règlements sous le 2022 Loi sur les paris sportifs du Massachusetts plus tôt cet automne. Bien qu’elles s’adressent à un groupe restreint d’entreprises, les restrictions concernant l’utilisation de l’intelligence artificielle, le profilage et la notification des violations suggèrent le type de préoccupations sur lesquelles nous pourrions voir d’autres régulateurs se concentrer dans d’autres secteurs.
La loi a été adoptée l’année dernière pour légaliser les paris sportifs dans l’État. Il impose également des obligations sur la manière dont les entités couvertes traitent les informations personnelles. Les entités couvertes par la loi, et donc impactées par ces réglementations, sont celles qui gèrent des établissements de paris sportifs physiques ou virtuels dans le Massachusetts ou qui s’adressent à ceux-ci. En vertu de la loi, la commission des jeux a reçu un pouvoir de régulation. Les réglementations de cet automne précisent comment répondre aux obligations de protection de la loi. À savoir:
- Limiter la manière dont les informations sont utilisées. Les opérateurs ne peuvent utiliser et conserver les informations des clients que pour exploiter leurs plateformes de paris sportifs. S’ils souhaitent utiliser des informations pour d’autres raisons, ils doivent obtenir le consentement. Le consentement doit être « clair et visible » et ne pas faire partie d’un autre accord. Les règles interdisent spécifiquement de s’appuyer sur l’acceptation de conditions pour ce type de consentement. Il est également interdit aux opérateurs d’utiliser des comportements réels ou prévus pour encourager les paris ou à des fins marketing. L’intégration des informations sur les clients dans les systèmes d’IA pour rendre les jeux plus addictifs était particulièrement préoccupante.
- Protéger les informations. Les opérateurs doivent développer et maintenir des politiques de confidentialité et de sécurité des données. Ces politiques doivent aborder la formation des employés, les procédures de réponse aux incidents et les mesures techniques et organisationnelles de protection des informations.
- Notifier en cas de manquement. Les opérateurs doivent informer la Massachusetts Gaming Commission et ouvrir une enquête dans les 5 jours suivant un soupçonné violation de données. Une violation est la même que celle prévue par la loi de l’État sur la notification des violations, à savoir l’acquisition ou l’utilisation non autorisée de renseignements personnels informatisés. (Cette loi, comme beaucoup le savent, et comme la plupart des lois sur la notification des violations, a une définition spécifique des informations personnelles.)
- Limites du partage de données. En vertu de la réglementation, les opérateurs ne peuvent partager les informations des clients que dans la mesure nécessaire au fonctionnement de l’établissement ou de la plateforme de paris sportifs et uniquement s’il existe un accord écrit avec le destinataire. Cet accord doit inclure, entre autres, une promesse selon laquelle le fournisseur protégera les informations et mettra en place un programme de sécurité des données et des procédures de réponse aux incidents. Les opérateurs doivent également chiffrer ou hacher les informations avant de les partager.
- Droits des mécènes. Semblable à droits trouvé dans les lois complètes de l’État, les clients ont le droit d’accès et de rectification. La loi prévoit également le droit de faire supprimer les informations et d’en limiter l’utilisation. Ces droits doivent être communiqués en ligne.
- Promouvoir le jeu responsable : La loi exige que les opérateurs de paris sportifs compilent et regroupent les informations personnelles des clients et les analysent dans le but de développer des programmes destinés à aider les personnes dépendantes au jeu.
Mise en pratique : Bien qu’applicables uniquement aux opérateurs de paris sportifs, ces exigences mettent en évidence des préoccupations qui préoccupent tous les régulateurs. Cela inclut des restrictions sur l’utilisation de l’intelligence artificielle et des préoccupations concernant l’utilisation des comportements et le profilage pour influencer les comportements.