Protection des renseignements personnels et cybersécurité au Canada et aux États-Unis
Ce bulletin mensuel a été préparé par l’équipe nationale Protection des renseignements personnels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l’un des sujets abordés, veuillez communiquer avec notre sympathique équipe spécialisée en protection des renseignements personnels et en cybersécurité.
Les actualités à noter ce mois-ci
Anonymisation au Québec
La Commission d’accès à l’information du Québec (la « CAI ») a créé sur son site Web la section « Modernisation des lois », où elle met à la disposition du public des documents d’orientation et des formulaires relatifs aux modifications apportées aux lois sur la protection des renseignements personnels du Québec. Les entreprises devraient être informées de la position prise par la CAI. Plus précisément, la mention suivante apparaît en français sur le site relativement à l’anonymisation.
À compter du 22 septembre 2023, les lois applicables prévoient la possibilité d’anonymiser des renseignements personnels, une alternative à leur destruction. Toutefois, les organismes publics et les entreprises devront être en mesure d’anonymiser ces renseignements selon les meilleures pratiques généralement reconnues et en fonction des critères et modalités déterminés par règlement du gouvernement. En l’absence de règlement du gouvernement, les organismes et les entreprises ne pourront pas anonymiser des renseignements personnels.
Le gouvernement du Canada publie des lignes directrices pour la protection des jeunes en ligne
Le Commissariat à la protection de la vie privée du Canada (CPVP) et les autorités canadiennes de protection de la vie privée ont publié deux documents accompagnateurs (accessibles ici) à l’appui d’une récente résolution commune qui vise à renforcer la protection du droit à la vie privée des jeunes.
La résolution en question a été adoptée par les autorités de protection de la vie privée fédérale, provinciales et territoriales. L’un des documents s’adresse aux organisations et sur la manière dont elles peuvent appliquer concrètement les principes énoncés dans la résolution, comme intégrer la protection des renseignements personnels dès la conception de leurs produits. L’autre document s’adresse aux personnes qui s’occupent de jeunes et indique en détail comment ils peuvent mieux protéger ces jeunes dont ils sont responsables.
Hausse des cyberattaques au Canada
Plus tôt en 2023, la société Ernst Young a mené une étude sur le leadership en matière de cybersécurité dans le monde, soit la Global Cybersecurity Leadership Insights Study(disponible uniquement en anglais). Les conclusions de l’étude ont été publiées en octobre 2023 et soulignent que même si les organisations investissent davantage dans la cybersécurité, les cybercriminels ont des méthodes de plus en plus sophistiquées et les cibles potentielles sont de plus en plus nombreuses. Le nombre de cyberattaques est en augmentation partout dans le monde, et le Canada ne fait pas exception. Les entreprises doivent surveiller de près leurs programmes de cybersécurité.
Biden émet un décret pour réglementer l’utilisation de l’ia
L’administration américaine Biden-Harris a émis un décret (disponible uniquement en anglais) visant la gestion des risques posés par les technologies d’intelligence artificielle (IA). Le décret-loi exige des organisations qu’elles adoptent des pratiques responsables en matière de développement de l’IA; du Congrès qu’il adopte une loi bipartite sur la protection des renseignements personnels; et des développeurs de technologies de l’IA de communiquer au gouvernement américain leurs résultats en matière de sécurité et d’autres renseignements essentiels, pour ne nommer que quelques exigences. Ce décret a rapidement suivi la ratification par l’Union européenne de sa propre loi sur l’IA plus tôt en 2023, ce qui indique que la réglementation des technologies d’IA est là pour de bon.
Déclaration du g7 sur le processus dit d’Hiroshima sur l’ia générative
Le 30 octobre 2023, les dirigeants du G7 ont publié un énoncé sur le processus d’IA d’Hiroshima (disponible uniquement en anglais), qui reflète l’adoption de principes directeurs (disponible uniquement en anglais) et d’un code de conduite volontaire (disponible uniquement en anglais) pour les organisations qui développent des systèmes d’IA de pointe. L’objectif déclaré du processus d’IA dit d’Hiroshima est de « favoriser un environnement ouvert et favorable dans lequel des systèmes d’IA sûrs, sécurisés et dignes de confiance sont conçus, développés, déployés et utilisés pour maximiser les avantages de la technologie tout en atténuant ses risques, pour le bien commun et dans le monde entier, notamment au sein des économies en développement et émergentes, en vue de réduire la fracture numérique et de parvenir à l’inclusion numérique » (en anglais).
Lignes directrices Québécoises – critères de validité du consentement
Le 31 octobre 2023, la Commission d’accès à l’information du Québec a publié la version finale de ses lignes directrices sur les critères de validité du consentement. Vous trouverez plus d’information et un lien vers les lignes directrices ici.
Approbation de la convention d’échange de données entre le Royaume-uni et les États-Unis
À la suite de la décision de la Commission européenne d’adopter le cadre de protection des données UE – États-Unis, le Royaume-Uni a maintenant adopté le Data Protection (Adequacy) (United States of America) Regulations 2023 (le règlement 2023 sur la protection des données [adéquation] [États-Unis d’Amérique]). Ce règlement est entré en vigueur le 12 octobre 2023, permettant aux organisations d’échanger plus librement des données entre les deux pays. Les exportateurs de données du Royaume-Uni et les importateurs de données des États-Unis qui se prévalent de la convention d’échange de données entre le Royaume-Uni et les États-Unis devront examiner et, au besoin, mettre à jour leurs politiques de protection des renseignements personnels, leurs registres des activités de traitement, leurs contrats et autres documents pour s’assurer qu’ils respectent les lois applicables en matière de protection des données et des renseignements personnels. Le cadre de référence et la liste de contrôle peuvent être consultés ici (en anglais seulement).
Pour ne rien manquer :
Le groupe Protection des renseignements personnels, vie privée et cybersécurité de Fasken a publié des articles qui pourraient vous intéresser :
