Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres du groupe Protection des renseignements confidentiels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.

Canada

La Cour suprême de la Colombie-Britannique conclut que la PIPA de la Colombie-Britannique s’applique aux organisations situées en dehors de la province

En décembre 2024, la Cour suprême de la Colombie-Britannique a rendu son jugement dans l’affaire Clearview AI Inc. v. Information and Privacy Commissioner for BC (en anglais seulement). La Cour a confirmé la décision prise par le commissariat à l’information et à la protection de la vie privée de la province à l’égard de Clearview AI, une entreprise américaine qui offre une technologie de reconnaissance faciale. Il convient de noter que la Cour a décidé que la PIPA de la C.-B. s’appliquerait à toute organisation ayant un « lien suffisant » avec la province. Cela inclut le simple fait pour une organisation de recueillir des renseignements personnels auprès de particuliers en Colombie-Britannique via Internet. Toutes les organisations qui exploitent un site Web accessible en Colombie-Britannique doivent connaître leurs obligations en vertu de la PIPA et s’assurer de s’y conformer.

Europe

Le Tribunal condamne la Commission européenne à indemniser un visiteur de son site Internet « Conférence sur l’avenir de l’Europe » en raison du transfert de données à caractère personnel vers les États-Unis

Un citoyen résidant en Allemagne s’est plaint que la Commission avait violé son droit à la protection de ses données personnelles lorsque, en 2021 et 2022, il a visité le site Web de la Conférence sur l’avenir de l’Europe. Plus précisément, il s’était inscrit à l’événement sur ce site Web au moyen du service d’authentification EU Login de la Commission, après avoir choisi de s’identifier à l’aide de son compte de média social.

Le Tribunal a considéré qu’en autorisant l’inscription par l’intermédiaire de l’hyperlien des médias sociaux, la Commission a créé les conditions permettant la transmission de son adresse IP, c’est-à-dire de données à caractère personnel, à l’entreprise établie aux États-Unis. Au moment de ce transfert, la Commission ne s’était pas prononcée quant à l’adéquation des États-Unis par rapport à la protection des données à caractère personnel des citoyens de l’UE. En outre, la Commission n’a ni démontré ni prétendu que le transfert était assorti de garanties appropriées, notamment des clauses types de protection de données ou des clauses contractuelles. Par conséquent, la Commission n’a pas respecté les conditions fixées par le droit de l’UE pour le transfert de données à caractère personnel vers un pays tiers par une institution, un organe ou un organisme de l’UE.

Aspiration de données : L’autorité de contrôle française inflige une amende de 240 000 euros à KASPR

Le 5 décembre 2024, la CNIL a imposé une amende de 240 000 € à KASPR, notamment pour avoir recueilli sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisi de limiter la visibilité de leurs coordonnées.

Non-respect de l’obligation de disposer d’une base juridique (article 6 du RGPD)

Manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (article 5-1-e du RGPD)

Manquement à l’obligation de transparence et d’information des personnes (articles 12 et 14 du RGPD)

Non-respect du droit d’accès des personnes (article 15 du RGPD)

Le CEPD adopte des lignes directrices sur la pseudonymisation

Dans ses lignes directrices (en anglais seulement), le Conseil européen de la protection des données (« CEPD ») précise la définition et l’applicabilité de la pseudonymisation et des données pseudonymisées, ainsi que les avantages de ce processus.

Les lignes directrices apportent deux précisions juridiques importantes :

Les données pseudonymisées, qui pourraient permettre d’identifier une personne au moyen d’information supplémentaire, demeurent des renseignements relatifs à une personne physique identifiable et constituent donc toujours des données personnelles. En effet, si le responsable du traitement ou quelqu’un d’autre est en mesure d’établir un lien entre les données et une personne, ces dernières demeurent des données personnelles.

La pseudonymisation peut réduire les risques et faciliter l’utilisation des intérêts légitimes comme base juridique, contribuer à assurer la compatibilité avec la finalité initiale et aider les organisations à respecter leurs obligations relatives à la mise en œuvre des principes de protection des données, à la protection des données dès la conception ainsi que par défaut, et à la sécurité.

