Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec un des membres du groupe Protection des renseignements confidentiels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.
Canada
L’Alberta présente de nouvelles lois sur l’accès à l’information
En novembre 2024, le gouvernement de l’Alberta a annoncé qu’il abrogerait la loi Freedom of Information and Protection of Privacy Act et qu’il la remplacerait par deux lois distinctes, intitulées Protection of Privacy Act (« POPA ») et Access to Information Act (« ATIA »). La POPA et l’ATIA resteront applicables à de nombreuses entités publiques, y compris les ministères, les conseils d’administration, les organismes publics, les municipalités, les conseils scolaires, les services de police, ainsi que les universités et les collèges, et apporteront des changements pour répondre aux exigences en matière de protection des renseignements personnels et d’accès à l’information de notre ère numérique. Consultez le bulletin de Fasken à ce sujet : Updates to Alberta’s Freedom of Information Law (en anglais seulement).
La loi de l’Ontario sur la cybersécurité dans le secteur public est adoptée
Le 25 novembre 2024, la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (le « Projet de loi 194 ») a franchi l’étape de la troisième lecture et a reçu la sanction royale à l’Assemblée législative de l’Ontario. Le Projet de loi 194 promulgue la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique et apporte des modifications à la Loi sur l’accès à l’information et la protection de la vie privée qui, collectivement, créent de nouvelles obligations importantes en matière de protection de la vie privée, de cybersécurité et d’utilisation de l’intelligence artificielle pour les entités du secteur public de l’Ontario. Consultez le bulletin de Fasken sur le Projet de loi 194 : Ontario’s Public Sector Cyber Security Legislation Receives Royal Assent (en anglais seulement).
La Cour d’appel fédérale se prononce sur la signification du consentement valable et l’obligation de protéger les renseignements personnels
Plus tôt ce mois-ci, nous avons publié un bulletin sur la décision rendue en septembre par la Cour d’appel fédérale dans Canada (Privacy Commissioner) v Facebook, Inc., 2024 CAF 140. Pour en savoir plus : Nouvelle décision de la Cour d’appel fédérale et son incidence sur le consentement valable et la protection adéquate des renseignements personnels.
Cette décision est l’une des rares décisions prises par les cours d’appel qui prennent en compte les concepts fondamentaux de la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé, la LPRPDE. Plus précisément, la Cour :
- établit une norme de la « personne raisonnable » pour évaluer la validité du consentement en vertu de la LPRPDE;
- souligne que les politiques de confidentialité pourraient être insuffisantes, à elles seules, pour établir un consentement valable, en particulier lorsque les fins de l’utilisation ou de la communication de renseignements personnels sont inattendues;
- souligne que les modalités contractuelles ne sont pas toujours suffisantes pour protéger les renseignements personnels.
Europe
L’EDPB clarifie les règles relatives au partage de données avec les autorités de pays tiers dans de nouvelles lignes directrices
Les organisations reçoivent des demandes de partage de données personnelles de la part d’autorités publiques d’autres pays. Le partage de données peut, par exemple, aider à recueillir des preuves en cas de criminalité, à vérifier les transactions financières ou à approuver de nouveaux médicaments. Le comité européen de la protection des données (EDPB) souligne que les organisations doivent se conformer règlement général sur la protection des données (RGPD), en particulier aux dispositions relatives aux transferts, et évaluer dans quelles conditions elles peuvent légalement répondre à de telles demandes, par exemple sur le fondement d’un accord international. Notez que la consultation est toujours en cours.
Lettre de l’EDPB à la Commission européenne sur l’examen de ses onze décisions d’adéquation adoptées en vertu de la directive 95/46/CE
Le 15 janvier 2024, la Commission européenne a conclu son examen des onze décisions d’adéquation adoptées et a estimé que les données à caractère personnel transférées de l’Union européenne (UE) vers les pays adéquats continuent de bénéficier d’un niveau de protection adéquat.
Dans sa lettre (en anglais seulement), l’EDPB fournit à la Commission des commentaires méthodologiques sur certains aspects de son évaluation qui auraient pu être décrits plus en détail : l’état de droit, certains éléments du cadre de protection des données (concepts clés, bases de licéité, droits des personnes, garanties pour la prise de décision automatisée, transferts ultérieurs, etc.), l’accès aux données à caractère personnel et leur utilisation par les autorités de pays tiers. L’EDPB estime que la Commission devrait examiner soigneusement ces aspects lorsqu’elle effectuera de nouvelles évaluations des législations et pratiques des pays et territoires tiers.
L’EDPB publie un avis sur le RGPD concernant certains aspects de la protection des données liés au traitement des données à caractère personnel dans le contexte des modèles d’IA
Le 18 décembre 2024, l’EDPB a publié l’avis 28/2024 concernant certains aspects de la protection des données liés au traitement des données à caractère personnel dans le contexte des modèles d’IA.
Plus particulièrement, le comité s’interroge sur les circonstances dans lesquelles un modèle d’IA peut être considéré comme anonyme, sur la façon dont les responsables du traitement peuvent justifier l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données lors du développement et du déploiement des modèles d’IA et sur les conséquences d’un traitement illégal des données pendant le développement ou le déploiement des modèles d’IA.
Le Parlement européen publie une note d’information sur la lutte contre la désinformation et les risques de l’IA générative
Le 12 décembre 2024, le Parlement européen a publié une note d’information sur la désinformation dans l’espace numérique. Le document (en anglais seulement) souligne les défis croissants posés par la manipulation étrangère, en particulier par des acteurs autoritaires, et les risques amplifiés par l’IA générative.
Il décrit les efforts actuellement déployés par l’UE pour renforcer l’intégrité de l’information, notamment les mesures législatives, les initiatives de collaboration et le futur « bouclier européen de la démocratie » destiné à protéger les processus démocratiques et les droits fondamentaux tels que la liberté d’expression.
Et pour finir, un peu de gaieté pour le temps des fêtes
Groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken
Forte de plusieurs années d’expérience, notre équipe nationale de protection de la vie privée et cybersécurité est composée de 36 avocats et avocates et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le RGPD de l’Union européenne et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets dans l’ensemble des secteurs d’activité. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site web.
