Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par l'équipe nationale Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l'un des sujets abordés, veuillez communiquer avec notre sympathique équipe spécialisée en protection des renseignements personnels et en cybersécurité.

Les actualités à noter ce mois-ci

Loi sur l'intelligence artificielle : le Conseil européen et le Parlement européen concluent un accord provisoire

Le 2 février 2024, la présidence du Conseil européen et le Parlement européen ont conclu un accord provisoire (en anglais) sur le projet de loi sur l'intelligence artificielle (IA). L'accord porte notamment sur les modèles d'IA à incidence élevée et les systèmes à risque élevé; il repose sur l'introduction d'un système de gouvernance remanié doté de pouvoirs d'application accrus. Les interdictions sont élargies, ce qui permet aux forces de l'ordre d'utiliser l'identification biométrique à distance dans les espaces publics, avec des mesures de protection strictes. Les fournisseurs de systèmes d'IA à risque élevé doivent procéder à une évaluation des répercussions sur les droits fondamentaux afin d'améliorer la protection. Il s'agit d'une nouvelle étape vers l'unification de la réglementation sur l'IA au sein de l'Union européenne (UE).

Le New Hampshire adopte une loi complète sur la protection de la vie privée

Le 18 janvier 2024, le Sénat du New Hampshire a adopté un projet de loi complet sur la protection de la vie privée(en anglais), auquel il ne manque que la signature du gouverneur. Cette loi est la plus récente d'une série de lois portant sur la protection de la vie privée. S'il est adopté, ce projet de loi deviendra la 14ᵉ loi étatique sur la protection de la vie privée.  Essentiellement, il est semblable au modèle mis en œuvre dans la Privacy Act de l'État de Washington. Celle-ci peut être appliquée par le procureur général de l'État et comprend une période discrétionnaire de 60 jours pour remédier à une situation.  La nouvelle loi entrera en vigueur le 1er janvier 2025.

Le commissaire fédéral à la protection de la vie privée du Canada dévoile un plan stratégique

En janvier 2024, le Commissariat à la protection de la vie privée du Canada a publié son plan stratégique pour les années 2024 à 2027. Les trois principaux axes du plan sont les suivants : 1) protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés; 2) faire valoir la protection de la vie privée à l'heure où se succèdent les changements technologiques et agir en ce sens; et 3) défendre le droit à la vie privée des enfants. Bien qu'ils n'aient pas d'incidence directe sur les organisations à l'heure actuelle, ces priorités indiquent l'orientation que prendront les organismes de réglementation au cours des prochaines années. Toute organisation qui traite des renseignements personnels gagnerait à prendre note de ces priorités réglementaires.

La Federal Trade Commission interdit la vente de données de localisation des consommateurs

Le 18 janvier 2024, la Federal Trade Commission (FTC) a annoncé un projet d'ordonnance interdisant à une organisation de courtiers-fournisseurs de données établie au Texas de vendre des données précises sur la localisation de consommateurs ou d'octroyer des licences relatives à ces données. L'organisation avait recueilli des renseignements sur la localisation auprès de diverses sources, y compris ses propres applications et celles de tiers à des fins publicitaires. La FTC a jugé que l'organisation n'avait pas obtenu de consentement éclairé, tant directement que par l'entremise de partenaires tiers. Elle a également jugé que l'organisation conservait les données trop longtemps (pendant cinq ans) et lui a ordonné de supprimer les données sur les consommateurs. On peut consulter l'annonce de la FTC ici (en anglais).

Le point sur le caractère adéquat des lois canadiennes en matière de transferts de l'UE

Le 15 janvier 2024, la Commission européenne (CE) a publié un rapport renouvelant le statut adéquat des lois canadiennes en vertu du Règlement général sur la protection des données (RGPD).

Rappelons qu'en vertu du RGPD, le transfert de renseignements personnels à l'extérieur de l'UE est possible à certaines conditions. Ce transfert est autorisé si la CE a conclu que le pays destinataire assurait un niveau de protection adéquat (RGPD, art. 45). Des examens du caractère adéquat sont généralement effectués tous les quatre ans.

La décision canadienne sur le caractère adéquat concerne les données personnelles transférées de l'UE aux destinataires assujettis à la LPRPDE. Il n'y a aucune mention de la Loi 25 du Québec et, par conséquent, les transferts de l'UE à des destinataires québécois ne sont pas couverts par la décision sur le caractère adéquat.

La conservation des données à caractère personnel pour une période indéterminée n'est pas autorisée dans l'UE

La Cour de justice de l'Union européenne (CJUE) a statué le 30 janvier 2024 que la conservation générale et indifférenciée des données biométriques et génétiques des personnes condamnées au criminel, jusqu'à leur décès, est contraire au droit de l'Union. Les détails de cette affaire sont présentés ici

En outre, selon la CJUE, le droit de l'UE exige que les législations nationales imposent aux responsables du traitement de vérifier régulièrement si la conservation des données est toujours nécessaire et d'accorder aux personnes concernées le droit d'obtenir l'effacement de leurs données si ce n'est plus le cas.

Pour ne rien manquer :

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a publié des articles qui pourraient vous intéresser :

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.