Protection des renseignements personnels et cybersécurité au Canada et aux États-Unis
Ce bulletin mensuel a été préparé par l’équipe nationale Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l’un des sujets abordés, veuillez communiquer avec notre sympathique équipe spécialisée en protection des renseignements personnels et en cybersécurité.
Les actualités à noter ce mois-ci
Modifications proposées au projet de loi C-27
Le 28 novembre 2023, le ministre de l’Innovation, des Sciences et de l’Industrie a proposé des modifications à la Loi sur l’intelligence artificielle et les données (LIAD) dans une lettre envoyée au Comité permanent de l’industrie et de la technologie qui étudie actuellement le projet de loi C-27. Les modifications proposées sont substantielles et intègrent les recommandations soulevées précédemment par le ministre en octobre. Fasken rédige actuellement un bulletin complet présentant les modifications proposées.
Résurgence « inquiétante » des rançongiciels
Comme mentionné dans les actualités à noter du mois dernier , 2023 a été marquée par une résurgence des rançongiciels et des opérations d’extorsion, selon un rapport (en anglais) récemment publié par Allianz Commercial. Les pirates informatiques et les acteurs malveillants ciblent de plus en plus les chaînes d’approvisionnement physiques et technologiques, et les incidents liés à l’exfiltration de données se multiplient. Selon le rapport [traduction] « l’analyse d’un certain nombre de pertes importantes liées aux cyberattaques dans le secteur de l’assurance montre que la proportion de cas dans lesquels les données sont exfiltrées augmente chaque année; elle est passée de 40 % en 2019 à environ 77 % en 2022, et 2023 est en voie d’excéder les résultats de l’année dernière ».
La CISA publie une feuille de route en matière d’IA
Au début du mois de novembre 2023, la Cybersecurity and Infrastructure Security Agency (CISA) a publié la Roadmap for Artificial Intelligence, une feuille de route pour la réglementation de l’intelligence artificielle aux États-Unis. Celle-ci servira de guide pour les efforts de la CISA dans ce domaine afin de « garantir la conformité et l’harmonisation avec la stratégie relative à l’IA de l’ensemble du gouvernement » en plus d’intégrer les règles issues d’un décret sur l’IA signé par le président Biden en octobre 2023.
Des sénateurs Américains présentent un projet de loi sur l’IA
Le 13 novembre 2023, aux États-Unis, un groupe bipartisan de sénateurs, dirigé par Amy Klobuchar, sénatrice du Minnesota et membre du Parti démocrate, et John Thune, sénateur du Dakota du Sud et membre du Parti républicain, a présenté le projet de loi Artificial Intelligence (AI) Research, Innovation, and Accountability Act of 2023. Ce projet vise à mettre en place un cadre pour l’innovation en matière d’intelligence artificielle et pour la responsabilisation relative à l’utilisation de l’intelligence artificielle générative.
L’Ontario entend adopter une loi sur l’IA
Le 14 novembre 2023, le gouvernement de l’Ontario a présenté son projet de loi 149, Loi de 2023 visant à œuvrer pour les travailleurs, quatre. Si elle est adoptée, cette loi modifiera notamment la Loi sur les normes d’emploi en obligeant les employeurs à signaler toute utilisation de l’IA dans la présélection des candidats lors des processus de recrutement et d’embauche. Les employeurs devront indiquer dans les offres d’emploi si l’IA est ou sera utilisée dans le cadre du processus d’embauche.
La Californie publie un rapport sur les avantages de l’IA générative
La Californie a publié le Benefits and Risks of Generative Artificial Intelligence, un rapport sur les avantages et les risques de l’IA générative qui comprend une analyse de cas d’utilisation de l’IA générative au sein du gouvernement de l’État californien. Ce rapport fait suite au décret du gouverneur Newsom sur le sujet et marque le début d’un « processus itératif pluriannuel » visant à élaborer et à fournir des lignes directrices pour l’utilisation des outils d’IA générative. Le rapport fournit quelques indicateurs préliminaires de l’évolution probable du cadre réglementaire dans l’avenir.
La déclaration de Bletchley
Les pays ayant participé au sommet mondial sur la sécurité dans le domaine de l’intelligence artificielle, lequel s’est tenu au début du mois de novembre 2023, dont le Canada, les États-Unis et la Chine, de même que l’Union européenne, ont signé la déclaration de Bletchley (en anglais). Cette déclaration affirme notamment que la sécurité doit être prise en compte tout au long du cycle de vie de l’IA et définit un programme de lutte contre les risques liés à l’IA de pointe, axé sur : l’identification des risques d’intérêt commun et l’élaboration de politiques fondées sur les risques dans les pays participants afin de garantir des mesures de sécurité appropriées.
Le Commissaire à la protection de la vie privée ouvre des enquêtes
Le Commissaire à la protection de la vie privée du Canada a annoncé avoir décidé d’ouvrir des enquêtes sur une cyberattaque qui a compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation d’entreprises retenues par le gouvernement au cours des 24 dernières années.
Les enquêtes permettront d’examiner le caractère adéquat des mesures de sécurité que les deux entreprises concernées et le gouvernement fédéral avaient mises en place afin de protéger les renseignements personnels des employés ayant eu recours aux services de réinstallation. Les organisations doivent veiller à ce que tous les renseignements en leur possession soient protégés de manière adéquate, y compris les renseignements personnels des employés.
La Californie présente un projet de règlement concernant la prise de décision automatisée
Le 27 novembre 2023, la California Privacy Protection Agency a présenté un projet de règlement sur les technologies de prise de décision automatisée (en anglais). Le projet de règlement vise à [traduction] « mettre en œuvre le droit des consommateurs de refuser que des entreprises utilisent des technologies de prise de décision automatisée et d’accéder à de l’information à cet égard ». Le conseil de l’agence s’est réuni le 8 décembre 2023 pour examiner la question, et la réglementation officielle devrait suivre au cours du premier trimestre 2024. Les exigences proposées auraient une incidence sur les entreprises qui utilisent ces technologies pour prendre des décisions en matière d’emploi, de rémunération, de profilage et de suivi, de technologies de reconnaissance faciale et de publicité comportementale.
Québec adopte un règlement concernant les modalités des politiques de confidentialité
Le gouvernement du Québec a adopté un règlement (version française) qui détermine les modalités des politiques de confidentialité que doivent publier les organismes publics lorsqu’ils recueillent des renseignements personnels par un moyen technologique. Ce règlement entrera en vigueur le 1er janvier 2024. Comme les entreprises québécoises du secteur privé sont également tenues de publier une politique de confidentialité lorsqu’elles recueillent des renseignements personnels par un moyen technologique, elles pourraient trouver utile de s’inspirer de ce règlement.
Pour ne rien manquer :
Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a publié des articles qui pourraient vous intéresser :
