Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres du groupe Protection des renseignements confidentiels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.
Canada
Le commissaire à la protection de la vie privée du Canada demande à la Cour fédérale d’ordonner à l’exploitant de Pornhub de se conformer aux lois sur la protection des renseignements personnels
La commissaire à la protection de la vie privée du Canada a déposé un avis de demande auprès de la Cour fédérale en vue d’obtenir une ordonnance enjoignant à Aylo, un exploitant de sites Web pornographiques, de se conformer aux lois canadiennes sur la protection des renseignements personnels. Cet avis intervient un an après que le commissaire a publié les conclusions d’une enquête sur la conformité d’Aylo à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale. L’enquête a été ouverte à la suite d’une plainte déposée par une femme dont l’ex-petit ami a téléversé des images intimes d’elle sur les sites d’Aylo sans son consentement. Le commissaire a conclu qu’Aylo permettait la mise en ligne de contenu de nature sensible sans avoir obtenu le consentement éclairé des personnes concernées et ne proposait pas de mécanisme simple à utiliser et efficace permettant aux personnes de faire retirer le contenu en question.
La demande du commissaire indique que les pratiques d’Aylo ne garantissent toujours pas l’obtention d’un consentement éclairé des personnes figurant sur les vidéos diffusées sur ses sites, malgré des changements récents. Contrairement au commissaire, la Cour fédérale peut imposer des ordonnances contraignantes aux organisations pour qu’elles se conforment à la LPRPDE.
La Commission d’accès à l’information du Québec interdit à un épicier de déployer un système de reconnaissance faciale
Le 18 février 2025, la Commission d’accès à l’information du Québec (CAI) a rendu une décision concernant le projet pilote d’un supermarché visant à mettre en place un système de reconnaissance faciale dans certains magasins. L’objectif du projet était de lutter contre le vol à l’étalage et la fraude en utilisant des caméras de surveillance pour capter les images des personnes qui entrent et sortent des établissements, sans leur consentement. L’enquête de la CAI a soulevé des enjeux en lien avec la conformité de ce système biométrique avec la loi québécoise sur la protection des renseignements personnels dans le secteur privé et la Loi concernant le cadre juridique des technologies de l’information. En conséquence, la CAI a interdit à l’entreprise de mettre en œuvre la banque de données biométriques proposée, en invoquant une atteinte au droit à la vie privée et la nécessité de se conformer aux normes juridiques pour implanter de telles technologies.
La Commission d’accès à l’information du Québec publie un mémoire sur l’utilisation de l’IA en milieu de travail
Le 21 février 2025, la CAI a publié le mémoire sur l’utilisation de l’IA en milieu de travail qu’elle avait présenté au ministère du Travail du Québec plus tôt en janvier. Il aborde les répercussions de l’IA et des technologies de surveillance sur les milieux de travail, en soulignant la nécessité d’un encadrement juridique plus adapté pour protéger les renseignements personnels des employés. La CAI reconnaît que, lorsqu’elle est déployée dans des conditions favorables, l’IA peut offrir des avantages aux employeurs et aux employés, tels que la création d’emplois et l’amélioration de l’expérience professionnelle. Toutefois, le mémoire met en lumière des préoccupations quant à l’utilisation croissante des technologies de surveillance, y compris les systèmes biométriques tels que la reconnaissance faciale et la lecture des empreintes digitales, qui peuvent porter atteinte au droit à la vie privée des employés. La CAI invite à l’adoption d’une réglementation claire, à une transparence et à des évaluations accrues, afin de garantir que le déploiement de l’IA et des technologies connexes sur les lieux de travail respecte les droits fondamentaux des employés.
Europe
Les enfants et l’IA générative
Le 18 février 2025, le Service de recherche du Parlement européen (EPRS) a publié un document intitulé « At a Glance » (en anglais seulement), qui met en évidence les lacunes en matière d’éducation sur l’IA et la vie numérique pour les enfants, malgré les protections de l’UE telles que le Règlement sur les services numériques et la Loi sur l’IA. L’EPRS appelle à une meilleure compréhension de l’IA, à une réduction du fossé numérique et au développement d’indicateurs communs pour mesurer l’impact de l’IA sur les enfants dans l’UE.
L’automatisation des demandes de crédit: une personne concernée a le droit à des explications sur la manière dont une décision est prise
Dans la décision C203-22, la CJUE a déclaré (en anglais seulement) que l’explication fournie devait permettre à une personne concernée de comprendre et de contester une décision automatisée.
En Autriche, un opérateur de téléphonie mobile a refusé de conclure un contrat avec une personne au motif qu’elle ne présentait pas une solvabilité financière suffisante. L’opérateur a fondé sa décision sur une évaluation de la solvabilité effectuée de manière automatisée par Dun & Bradstreet Austria, une firme spécialisée dans ce type d’évaluation.
Selon la CJUE, le responsable du traitement doit décrire la procédure et les principes concrètement appliqués, de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées, et de quelle manière lors de la prise de décision automatisée en cause. Afin de répondre aux exigences de transparence et d’intelligibilité, il pourrait notamment être approprié d’informer la personne concernée de la mesure dans laquelle une modification des données à caractère personnel prises en compte aurait conduit à un résultat différent. En revanche, la simple communication d’un algorithme ne saurait constituer une explication suffisamment concise et compréhensible.
La CJEU clarifie le calcul des amendes RGPD pour les entreprises
Le 13 février 2025, la CJUE a publié une décision (en anglais seulement) dans l’affaire C-383/23 qui clarifie la méthodologie et la portée du calcul des amendes pour les entreprises en vertu du RGPD de l’UE.
L’affaire concernait ILVA A/S, une filiale du groupe Lars Larsen. La CJUE a décidé que la notion d’« entreprise » figurant à l’article 83, paragraphes 4 à 6, du RGPD devait être interprétée conformément au droit de la concurrence de l’UE, en particulier selon les articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE). Dans ce contexte, la notion d’« entreprise » désigne une unité économique exerçant des activités commerciales, quelle que soit sa forme juridique. Cela inclut les sociétés par actions, les entreprises individuelles et les sociétés de personnes. À ce titre, la CJUE a jugé que l’amende maximale devait être basée sur le chiffre d’affaires annuel mondial total du groupe Lars Larsen, et non sur le seul chiffre d’affaires d’ILVA. La CJUE a souligné que les amendes devaient être effectives, proportionnées et dissuasives.
Pour ne rien manquer!
Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a récemment publié ces articles qui pourraient vous intéresser :
À propos du Groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken
Notre pratique en protection de la vie privée et en cybersécurité est l’une de celles qui sont établies depuis le plus longtemps dans le marché. Notre équipe nationale de premier plan est composée de plus de 30 avocates et avocats et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le Règlement général sur la protection des données de l’UE et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets et qui bénéficient de la confiance des principaux assureurs de cyberassurance et des entreprises du classement Fortune 500. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.