Protection des renseignements personnels et cybersécurité au Canada et aux États-Unis (janvier 2024)

Protection des renseignements personnels et cybersécurité au Canada et aux États-Unis

Ce bulletin mensuel a été préparé par l’équipe nationale Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l’un des sujets abordés, veuillez communiquer avec notre sympathique équipe spécialisée en protection des renseignements personnels et en cybersécurité.

Les actualités à noter ce mois-ci

Lignes Directrices Du Commissaire De L’alberta Sur L’intelligence Artificielle (IA)

Le Commissariat à l’information et à la protection de la vie privée de l’Alberta a publié des lignes directrices pour aider les petits dépositaires (au sens de la Health Information Act [loi sur la protection des renseignements sur la santé]) à gérer les risques et à prendre les mesures nécessaires pour s’acquitter de leurs obligations de diligence raisonnable lors de l’utilisation de l’IA. Bien qu’elles ne s’appliquent pas strictement à bon nombre d’entreprises du secteur privé, ces lignes directrices illustrent néanmoins l’attention que les organismes de réglementation accordent à l’IA et fournissent des indications utiles aux entreprises qui peinent à intégrer les outils d’IA et à gérer les risques en matière de protection de la vie privée et de sécurité.

Les Autorités Canadiennes De Protection De La Vie Privée Lancent Des Principes Pour Le Développement Et L’utilisation Responsables De L’IA Générative

Le 7 décembre 2023, à l’occasion du symposium international sur la protection de la vie privée et l’IA générative organisé par le CPVP, le Commissaire à la protection de la vie privée du Canada, Phillipe Dufresne, a annoncé le lancement d’un ensemble de principes. Le document de travail intitulé Principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée est un projet conjoint des organismes de réglementation compétents au Canada. Il vise à aider les entreprises qui développent, fournissent ou utilisent l’IA générative à appliquer les principes clés en vigueur au Canada en matière de protection de la vie privée.

Loi Européenne Sur L’IA: La Première Réglementation De L’intelligence Artificielle À Entrer En Vigueur

Un grand pas en avant pour la première réglementation européenne sur l’IA : Loi sur l’IA de l’UE : première réglementation de l’intelligence artificielle – Actualités | Parlement européen (europa.eu) : Les nouvelles règles établissent des obligations pour les fournisseurs et les utilisateurs selon le niveau de risque découlant de l’intelligence artificielle. Même si de nombreux systèmes d’IA ne présentent qu’un risque minime, ils doivent néanmoins être évalués. Ces risques se divisent comme suit :

• Risque inacceptable: Les systèmes d’IA à risque inacceptable sont considérés comme une menace pour les gens et seront interdits (p. ex. : identification biométrique et catégorisation des personnes).
• Risque élevé : Les systèmes d’IA qui nuisent à la sécurité ou aux droits fondamentaux seront considérés comme présentant un risque élevé et seront divisés en deux catégories :
  • 1) les systèmes d’IA utilisés dans des produits relevant de la législation de l’UE sur la sécurité des produits. Cela comprend les jouets, l’aviation, les voitures, les dispositifs médicaux et les ascenseurs.
  • 2) les systèmes d’IA relevant de domaines comme l’application de la loi, qui devront être enregistrés dans une base de données de l’UE.
    Tous les systèmes d’IA à haut risque seront évalués avant d’être mis sur le marché ainsi que tout au long de leur cycle de vie.
• L’IA généraliste et générative, comme Chat GPT, devra respecter des exigences de transparence.
• Risque limité: Les systèmes d’IA doivent respecter des exigences minimales de transparence qui permettent aux utilisateurs de prendre des décisions éclairées. Après avoir interagi avec les applications, l’utilisateur peut décider s’il souhaite continuer à l’utiliser. Lorsqu’ils interagissent avec l’IA, les utilisateurs doivent en être informés. Cela comprend les systèmes d’IA qui génèrent ou manipulent des images, du contenu audio ou vidéo, par exemple les hypertrucages.

Le texte sera ensuite formellement adopté par le Parlement et le Conseil pour devenir une loi européenne. L’annonce devrait être faite début 2024.

La Cour De Justice De L’union Européenne (Cjue) Se Prononce Sur La Notion De Décision Individuelle Automatisée

Dans l’arrêt C-634/21, Schufa du 7 décembre 2023 de la CJUE, (CURIA – Documents (europa.eu)), à propos de l’algorithme d’établissement des scores, la Cour a jugé qu’il s’agissait d’une « décision individuelle automatisée » en principe interdite par le RGPD, dans la mesure où les clients de SCHUFA, tels que les banques, lui attribuent un rôle déterminant dans le cadre de l’octroi d’un crédit.

En effet, la Cour conclut les trois conditions cumulatives pour identifier une telle décision, à savoir : i) l’existence d’une décision; ii) la décision est fondée exclusivement sur un traitement automatisé, y compris le profilage; iii) la décision produit des effets juridiques à l’égard de la personne concernée.

L’autorité Californienne De Protection De La Vie Privée Approuve La Proposition Législative Visant À Obliger Les Navigateurs À Proposer Des Préférences D’option D’exclusion

Le 11 décembre 2023, la California Privacy Protection Agency a annoncé la progression d’une proposition législative visant à obliger les fournisseurs de navigateurs à inclure une fonction qui permet aux utilisateurs d’exercer leurs droits à la protection de la vie privée au moyen de signaux de préférence de retrait. Même si, pour le moment, cette exigence ne concernerait que les consommateurs californiens, la reconnaissance des préférences de retrait n’est pas un sujet nouveau et restera certainement au centre des discussions des organismes de réglementation partout dans le monde. 

Pour La Cour De Justice De L’union Européenne, La Crainte D’un Potentiel Usage Abusif De Données Personnelles Peut, À Elle Seule, Constituer « Un Préjudice Moral »

Dans l’arrêt C-340/21 VB contre Natsionalna agentsia za prihodite de décembre 2023 (CURIA – Documents (europa.eu), la Cour a considéré que la crainte ressentie par une personne qu’on puisse faire un jour un usage abusif de ses données personnelles obtenues en violation du RGPD peut constituer un « préjudice moral », au sens dudit règlement.

Pénalités Administratives Pécuniaires En Ontario

Depuis 1er janvier 2024, le Commissariat à l’information et à la protection de la vie privée de l’Ontario a le pouvoir discrétionnaire d’imposer des pénalités administratives pécuniaires dans le cadre des mécanismes d’application de la loi sur la protection des renseignements personnels sur la santé (LPRPS). Des sanctions allant jusqu’à 50 000 $ pour un particulier et 500 000 $ pour une organisation peuvent désormais être imposées dans le but d’encourager le respect de la loi et d’empêcher les gens et les entreprises de tirer indirectement ou directement un avantage économique d’une infraction à la LPRPS. Le Commissaire à l’information et à la protection de la vie privée a publié des orientations sur ses nouveaux pouvoirs, indiquant de façon générale que ces dispositions d’exécution seront réservées aux violations plus graves nécessitant un effet dissuasif et non aux simples erreurs. Parmi les exemples d’infractions susceptibles de donner lieu à des pénalités administratives pécuniaires, mentionnons la grave consultation sans autorisation de dossiers de patients, les contraventions visant à obtenir un bénéfice pécuniaire et le non-respect du droit d’accès des particuliers.

Le New Jersey Adopte Une Loi Sur La Protection De La Vie Privée

Le 8 janvier 2024, dernier jour de la session législative de 2023, l’Assemblée législative du New Jersey a adopté définitivement un projet de loi complet sur la protection de la vie privée, le projet de loi 332 du Sénat. Ce projet de loi a été promulgué par le gouverneur Patrick Murphy le 16 janvier. La loi ressemble aux lois sur la protection de la vie privée des consommateurs adoptées dans d’autres États américains et s’appliquera aux contrôleurs et aux processeurs de données exerçant leurs activités au New Jersey ou visant les résidents du New Jersey qui respectent certains critères d’applicabilité. Le New Jersey est le 13e État à se doter d’une loi complète sur la protection de la vie privée aux États-Unis, et contribue à l’hétérogénéité de la législation en la matière.

Pour ne rien manquer:

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a publié des articles qui pourraient vous intéresser : https://www.fasken.com/en/knowledge/2023/11/artificial-intelligence-in-financial-services-the-canadian-regulatory-landscape (en anglais)