Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres du groupe Protection des renseignements confidentiels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.
Canada
La nouvelle stratégie nationale de cybersécurité du Canada
Le 6 février 2025, le gouvernement du Canada a présenté sa nouvelle stratégie nationale de cybersécurité afin de renforcer la cyberrésilience du pays. La stratégie met l’accent sur l’engagement de l’ensemble de la société et sur un leadership agile, en se concentrant sur la protection des Canadiens et Canadiennes et des entreprises, en positionnant le Canada comme un leader mondial en matière de cybertechnologies et en améliorant les capacités de détection et de perturbation des cybermenaces. Cette approche globale vise à protéger le paysage numérique du Canada et à assurer un avenir sûr, résilient et prospère à tous les Canadiens et Canadiennes.
Les commissaires à la protection de la vie privée commentent l’incident de cybersécurité de la PowerSchool
En février 2025, les commissaires à la protection de la vie privée de l’Alberta (en anglais seulement) et du Canada ont publié des déclarations sur le récent incident de cybersécurité subi par PowerSchool. Le commissaire à la protection de la vie privée de l’Alberta a indiqué avoir reçu 31 avis d’atteinte à la sécurité des données de divers établissements d’enseignement de l’Alberta concernant l’accès non autorisé à des renseignements personnels. Les commissaires examinent actuellement ces avis et les plaintes reçues par leurs bureaux. Les commissaires encouragent les personnes concernées à être vigilantes, à contacter l’établissement d’enseignement qui les a avisées pour toute question, et à consulter les sites Web des commissariats pour obtenir des informations supplémentaires sur leurs droits en matière de protection de la vie privée.
États-Unis
La Federal Trade Commission met à jour les règles relatives à la protection de la vie privée des enfants
Le 16 janvier 2025, la Federal Trade Commission (« FTC ») a annoncé des mises à jour (en anglais seulement) à la Children’s Online Privacy Protection Rule, lesquelles entreront en vigueur 60 jours après leur publication au registre fédéral. Les changements comprennent l’obligation pour les organisations d’obtenir le consentement des parents pour que les enfants choisissent de recevoir de la publicité ciblée, l’élargissement de la définition de renseignements personnels et l’obligation pour les organisations de limiter les types et la quantité de renseignements personnels qu’elles conservent. Les organisations dont les activités en ligne sont susceptibles d’avoir une incidence sur les enfants aux États-Unis doivent garder un œil sur ces changements pour s’assurer de leur conformité.
L’État de New York adopte une loi sur la protection des renseignements sur la santé
En janvier 2025, l’Assemblée législative de New York a adopté (en anglais seulement) une loi intitulée New York Health Information Privacy Act. Cette loi établit un cadre global pour le traitement des renseignements sur la santé dans l’État de New York par des entités réglementées. Les organismes assujettis sont actuellement considérés comme ceux qui exercent un contrôle quant au traitement des renseignements de santé et leurs fournisseurs de services. La loi doit être signée par le gouverneur et entrera probablement en vigueur un an après cette signature.
Europe
Déclaration commune sur la mise en place de cadres de gouvernance des données fiables pour encourager le développement de systèmes d’IA innovants et respectueux de la vie privée
Lors du Sommet pour l’action sur l’IA à Paris (du 6 au 11 février 2025), les autorités de protection des données de l’Australie, de l’Irlande, de la France, de la Corée du Sud et du Royaume-Uni ont signé une déclaration commune (en anglais seulement) pour réaffirmer leur engagement à mettre en place une gouvernance des données favorisant une IA innovante et protectrice de la vie privée.
Cette initiative vise à promouvoir un cadre de gouvernance en intelligence artificielle (IA) qui offre une certitude juridique aux parties prenantes et des garanties aux personnes concernées, notamment en matière de transparence et de respect des droits fondamentaux. La déclaration souligne les nombreuses occasions offertes par l’IA dans différents domaines tels que l’innovation, la recherche, l’économie et la société. Elle met également en garde contre plusieurs risques concernant la protection des renseignements personnels et de la vie privée, la discrimination et les biais algorithmiques, ainsi que la désinformation et les hallucinations de l’IA.
Pour assurer la conformité de l’IA avec la réglementation en vigueur, les autorités recommandent d’intégrer les principes de protection des données dès la conception des systèmes d’IA, de mettre en place une gouvernance robuste des données et d’anticiper la gestion des risques.
L’UE retire le projet de règlement sur la vie privée et les communications électroniques
La Commission européenne, dans son programme de travail pour 2025 (en anglais seulement), a décidé de retirer le projet de règlement sur la vie privée et les communications électroniques, car aucun accord n’est attendu de la part des colégislateurs. En outre, le projet est désuet compte tenu de l’adoption récente de certaines lois, et ce, tant dans le domaine des technologies que législatif.
Données pseudonymisées et données anonymisées
Dans son avis, l’avocat général dans l’affaire C–413/23P distingue la pseudonymisation de l’anonymisation dans le contexte où une partie reçoit des renseignements pseudonymisés. Il a rappelé que la pseudonymisation est un processus appliqué aux données à caractère personnel afin de « réduire les risques » de corrélation entre un ensemble de données et l’identité d’une personne concernée, et d’aider les responsables du traitement et les sous-traitants à respecter leurs obligations en matière de protection des données.
Lorsqu’une partie reçoit des données pseudonymisées, ces données restent des données à caractère personnel. Toutefois, si le risque d’identification est inexistant ou insignifiant, les données peuvent légalement échapper à la classification en tant que « données à caractère personnel ». Autrement dit, il arrive que des données pseudonymisées pour une partie deviennent des données anonymisées pour la partie destinataire : il importe de déterminer si la pseudonymisation des données en question est suffisamment solide pour conclure que la partie destinataire dispose de moyens raisonnables pour identifier les personnes. Dans ce cas, les données pseudonymisées pourraient être considérées comme un traitement de données à caractère personnel.
Pour ne rien manquer!
Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a récemment publié ces articles qui pourraient vous intéresser :
- Cupidon et programmes de fidélité : l’amour des données sous conditions
- Huit conseils pour implanter votre système biométrique sans tracas
Où nous trouver :
Les membres de notre groupe Protection des renseignements confidentiels, vie privée et cybersécurité prendront la parole ou assisteront aux événements suivants au cours des prochains mois. Au plaisir de vous croiser lors de ces événements!
- Sommet sur les cyberrisques de NetDiligence, Toronto – du 18 au 19 mars 2025 (en anglais seulement)
Groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken
Forte de plusieurs années d’expérience, notre équipe nationale de protection de la vie privée et cybersécurité est composée de plus de 30 avocats et avocates et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le Règlement général sur la protection des données de l’Union européenne et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets dans tous les secteurs d’activité. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.
