Bulletin

Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité (octobre 2024)

Temps de lecture 14 minutes
S'inscrire
Partager

Aperçu

Bulletin Protection des renseignements confidentiels, vie privée et cybersécurité

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec un des membres du groupe Protection des renseignements confidentiels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.

Canada

Le gouvernement fédéral adopte une nouvelle directive sur les évaluations des facteurs relatifs à la vie privée pour les institutions fédérales

Le 11 octobre 2024, le gouvernement fédéral a publié une directive sur les pratiques relatives à la protection de la vie privée visant à uniformiser les pratiques de gestion de la protection des renseignements personnels et à accroître la transparence de l’information transmise au public. Cette directive est axée sur la protection des renseignements personnels tout au long de leur cycle de vie, ce qui en englobe la création, la collecte, la conservation, l’usage, la communication et le retrait par les institutions fédérales ou par des tiers agissant dans le cadre d’un contrat, d’un accord d’échange de renseignements ou d’une entente d’échange de renseignements avec une institution fédérale.

Toutefois, un comité parlementaire a jugé cette directive insuffisante et a présenté 14 recommandations au gouvernement, dont certaines visent à renforcer la Loi sur la protection des renseignements personnels, qui s’applique aux institutions fédérales. Le Comité demande au gouvernement d’y inclure une obligation légale explicite pour les institutions fédérales de faire des évaluations des facteurs relatifs à la vie privée avant d’adopter des outils technologiques à haut risque. Cette mesure permettrait de s’assurer que les répercussions de ces outils sur la vie privée soient évaluées soigneusement et prises en compte avant leur déploiement.

Le Sénat complète la deuxième lecture du projet de loi canadien C-26 sur la cybersécurité 

Le 23 octobre 2024, le Sénat du Canada a complété la deuxième lecture du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois. Déposé en juin 2022, ce projet de loi est censé imposer d’importantes exigences en matière de cybersécurité aux industries sous réglementation fédérale et de nouvelles exigences en matière de sécurité nationale au secteur des télécommunications. La fin de la deuxième lecture rapproche le projet de loi C-26 de son adoption. Il fera maintenant l’objet d’un examen par le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants avant d’être soumis à la troisième (et dernière) lecture au Sénat. Pour plus de renseignements concernant le projet de loi C-26, veuillez consulter notre bulletin de 2022 ici.

États-Unis

Le Montana adopte une loi sur la protection de la vie privée des consommateurs

Le 1ᵉʳ octobre 2024, la Consumer Data Privacy Act (en anglais seulement) est entrée en vigueur au Montana, dernier État à s’être doté d’une loi exhaustive sur la protection de la vie privée. La nouvelle loi s’applique aux personnes qui exercent des activités au Montana ou qui offrent des produits ou services aux résidents du Montana et qui (1) traitent les données personnelles d’au moins 50 000 consommateurs du Montana ou (2) traitent les données personnelles d’au moins 25 000 consommateurs du Montana et tirent plus de 25 % de leurs revenus bruts de la « vente » de données personnelles.

Europe

Le non-respect du RGPD n’entraîne pas systématiquement l’imposition d’une sanction

La Cour de justice de l’Union européenne (la « CJUE ») rappelle que lorsqu’une violation de données à caractère personnel a été constatée, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, lorsque cette mesure n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et pour garantir le plein respect du règlement.

La CJUE a rendu une décision importante dans l’affaire C-446/21 Schrems (Communication de données au grand public). Un réseau social en ligne ne peut utiliser toutes les données à caractère personnel obtenues à des fins de publicité ciblée sans limitation dans le temps et sans distinction en fonction de la nature des données. Il s’agit d’une application pratique du principe de minimisation des données du RGPD. De plus, le fait qu’une personne ait divulgué son orientation sexuelle lors d’une table ronde ne justifie pas l’utilisation de ces données à l’extérieur de la plateforme à des fins de publicité personnalisée.

Le CEPD va collaborer avec la Commission européenne pour élaborer des orientations sur l’interaction entre le RGPD et la LMN.

Ce dialogue amélioré  (en anglais seulement) entre les services de la Commission et le Comité européen de la protection des données (le « CEPD ») sera axé sur les obligations applicables aux contrôleurs d’accès (digital gatekeepers) en vertu de la Loi sur les marchés numériques (la « LMN »), lesquelles se recoupent avec celles du RGPD, compte tenu du besoin d’appliquer les cadres réglementaires pour les contrôleurs d’accès de manière cohérente. En effet, il importe de développer une interprétation cohérente de la LMN et du RGPD, tout en respectant les compétences des organismes de réglementation concernés dans les domaines où le RGPD s’applique et dans ceux où la LMN y fait référence. Cela permettra une mise en œuvre efficace des deux cadres réglementaires et l’atteinte de leurs objectifs respectifs et complémentaires.

Le Conseil de l’Union européenne adopte de nouvelles exigences en matière de cybersécurité

Le 10 octobre 2024, le Conseil de l’Union européenne a adopté un nouveau règlement sur les exigences de cybersécurité pour les produits comportant des éléments numériques afin de s’assurer que les produits comme les caméras, les réfrigérateurs, les téléviseurs et les jouets connectés sont sécuritaires avant leur mise en marché (le « Règlement sur la cyberrésilience »). Le nouveau règlement vise à combler les lacunes, à clarifier les liens et à rendre le cadre législatif actuel en matière de cybersécurité plus cohérent, en veillant à ce que les produits comportant des éléments numériques, par exemple les produits de l’« Internet des objets » (IdO), soient sécurisés à tous les stades de la chaîne d’approvisionnement et tout au long de leur cycle de vie.

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et un programme de travail 2024-2025

Au cours de sa dernière séance plénière, le CEPD a adopté un avis sur certaines obligations découlant du recours aux sous-traitants et sous-traitants ultérieurs, des lignes directrices sur l’intérêt légitime, une déclaration sur l’établissement de règles de procédure supplémentaires pour l’application du RGPD et un programme de travail 2024-2025.

  • Avis 22/2024 sur certaines obligations découlant du recours aux sous-traitants et sous-traitants ultérieurs : (en anglais seulement) le CEPD considère notamment que :
    • Les responsables du traitement devraient avoir facilement accès aux renseignements d’identification (c.-à-d. le nom, l’adresse, la personne-ressource) de tous les sous-traitants, sous-traitants ultérieurs, etc., en tout temps afin qu’ils puissent s’acquitter au mieux de leurs obligations en vertu de l’article 28 du RGPD, sans égard au risque associé à l’activité de traitement.
    • Le recours à des sous-traitants ne devrait pas diminuer le niveau de protection des droits des personnes concernées. L’obligation du responsable du traitement de s’assurer que les sous-traitants et sous-traitants ultérieurs présentent des « garanties suffisantes » quant à la mise en œuvre des mesures appropriées déterminées par le responsable du traitement devrait s’appliquer sans égard au risque pour les droits et libertés des personnes concernées.
    • Bien que le sous-traitant initial doive s’assurer de proposer des sous-traitants ultérieurs présentant des garanties suffisantes, même dans le contexte du transfert de renseignements personnels entre deux sous-traitants, la décision finale de retenir les services d’un sous-traitant en particulier et la responsabilité connexe, y compris en ce qui concerne la vérification des garanties, incombent au responsable du traitement.
    • L’engagement du sous-traitant à ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins que le sous-traitant ne soit tenu de les traiter en vertu du droit de l’Union ou de l’État membre auquel il est soumis, rappelle le principe général selon lequel les contrats ne peuvent prévaloir sur la loi.
  • Lignes directrices 1/2024 sur le traitement des données personnelles fondé sur un intérêt légitime : (en anglais seulement)
    • Les lignes directrices offrent des indications quant à la façon d’évaluer l’intérêt légitime en pratique, y compris dans un certain nombre de contextes particuliers (p. ex., prévention de la fraude, prospection, sécurité de l’information, etc.), et sur l’interaction entre l’article 6(1)(f) du RGPD et un certain nombre de droits des personnes concernées en vertu du RGPD.
  • Déclaration 4/2024 sur les développements récents  entourant le projet de règlement établissant des règles de procédure supplémentaires pour l’application du RGPD (en anglais seulement)
    • Le CEPD a adopté une déclaration à la suite des modifications apportées par le Parlement européen et le Conseil de l’Union européenne à la proposition de règlement établissant des règles de procédure supplémentaires relatives à l’application du RGPD de la Commission européenne. De manière générale, la déclaration salue les modifications introduites par le Parlement européen et le Conseil et recommande d’aborder d’autres éléments particuliers afin que le nouveau règlement permette de simplifier la coopération entre les autorités et d’améliorer l’application du RGPD.

Le CEPD adopte les lignes directrices 2/2023 sur le champ d’application technique de l’art. 5(3) de la directive vie privée et communications électroniques (ePrivacy)

Le CEPD a adopté la version finale de ses lignes directrices sur le champ d’application technique de l’article 5(3) de la directive vie privée et communications électroniques (ePrivacy) (en anglais seulement) en octobre 2024. Dans ces lignes directrices, le CEPD traite de l’applicabilité de l’article 5(3) à différentes solutions techniques. Les lignes directrices s’appuient sur l’avis 9/2014 du groupe de travail « Article 29 » concernant l’application de la directive vie privée et communications électroniques aux dispositifs de saisie d’empreintes digitales et visent à clarifier les opérations techniques couvertes par l’article 5(3) de cette même directive.

Pour ne rien manquer!

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a récemment publié ces articles qui pourraient vous intéresser :

Où nous trouver

Les membres de notre groupe Protection des renseignements confidentiels, vie privée et cybersécurité prendront la parole ou assisteront aux événements suivants au cours des prochains mois. Au plaisir de vous croiser lors de ces événements!

  • Conférence BFUTR 2024, Toronto – 6 et 7 novembre 2024 (en anglais seulement)
  • Conférence de l’ABC sur le droit de la vie privée et de l’accès à l’information, Ottawa – 7 et 8 novembre, 2024

Groupe Protection des renseignements confidentiels, vie privée et cybersécurité

Forte de plusieurs années d’expérience, notre équipe nationale de protection de la vie privée et cybersécurité est composée de 36 avocats et avocates et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le RGPD de l’Union européenne et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets et bénéficions de la confiance des principaux fournisseurs de cyberassurance et des entreprises du palmarès Fortune 500. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.

Contactez les auteurs

Si vous avez des questions, n’hésitez pas à communiquer avec l’équipe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken.

Contactez les auteurs

Auteurs

  • Sam Delechantos, Avocate, Vancouver, BC | Calgary, AB, +1 604 631 2733, sdelechantos@fasken.com
  • Julie Uzan-Naulin, Associée, Montréal, QC, +1 514 871 5967, juzan@fasken.com
  • Rémi Slama, LLM, Avocat, Montréal, QC, +1 514 397 7462, rslama@fasken.com
  • Iara Griffith, Avocate, Montréal, QC, +1 514 397 7596, igriffith@fasken.com
  • Heather Whiteside, Avocate, Toronto, ON, +1 416 865 5476, hwhiteside@fasken.com
  • Soleïca Monnier, Avocate, Montréal, QC, +1 514 397 5281, smonnier@fasken.com
  • Dongwoo Kim, Stagiaire en droit, Toronto, ON, +1 416 865 5168, dwkim@fasken.com
Sam Delechantos, Avocate | Protection des renseignements confidentiels, vie privée et cybersécurité Sam Delechantos Avocate Vancouver, BC Calgary, AB +1 604 631 2733
Julie Uzan-Naulin | Privacy & Cybersecurity Lawyer in Montréal Julie Uzan-Naulin Associée Montréal, QC +1 514 871 5967
Rémi Slama, LLM, Avocat | Droit des sociétés et droit commercial Rémi Slama, LLM Avocat Montréal, QC +1 514 397 7462
Iara Griffith, Avocate | Protection des renseignements confidentiels, vie privée et cybersécurité Iara Griffith Avocate Montréal, QC +1 514 397 7596
Heather Whiteside Toronto Lawyer Heather Whiteside Avocate Toronto, ON +1 416 865 5476
Soleïca Monnier, Avocate | Protection des renseignements confidentiels, vie privée et cybersécurité Soleïca Monnier Avocate Montréal, QC +1 514 397 5281
Dongwoo Kim Toronto Student Dongwoo Kim Stagiaire en droit Toronto, ON +1 416 865 5168

Solutions connexes

Domaines de pratique

Marchés

    Vous pourriez être intéressé par...

    • Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité (septembre 2024), 30/09/2024
    • Franchir une nouvelle frontière : considérations relatives à l’IA et à la protection de la vie privée, 25/09/2024
    • Bulletins | Série spéciale - Projet de loi n° 64, Loi 25 et la réforme des lois québécoises sur la protection des renseignements personnels, 13/09/2024
    Centre de données informatiques Bulletin Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité (septembre 2024) Il y a eu beaucoup de développements en matière de protection des renseignements personnels et de cybersécurité au cours du dernier mois. Lisez la suite pour les découvrir. En savoir plus
    Centre de données informatiques Bulletin Franchir une nouvelle frontière : considérations relatives à l’IA et à la protection de la vie privée Découvrez en quoi les nouvelles règles en matière d’IA dans l’Union européenne et au Canada pourraient avoir un effet sur les pratiques de votre organisation en matière de protection de la vie privée et de cybersécurité. En savoir plus
    Bulletins | Série spéciale - Projet de loi n° 64, Loi 25 et la réforme des lois québécoises sur la protection des renseignements personnels Bulletin Bulletins | Série spéciale - Projet de loi n° 64, Loi 25 et la réforme des lois québécoises sur la protection des renseignements personnels Répertoire des bulletins publiés dans le cadre du Projet de loi n° 64, de la Loi 25 et de la réforme des lois québécoises sur la protection des renseignements personnels. En savoir plus

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire