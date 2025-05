Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Canada

Le gouvernement du Canada lance une consultation sur les certifications du forum mondial sur les règles relatives aux transferts transfrontaliers de données

Le 26 mars 2025, le gouvernement du Canada a lancé une consultation afin de recueillir des renseignements sur la mise en œuvre des certifications du Forum mondial sur les règles relatives aux transferts transfrontaliers de données (le forum Global CBPR), plus précisément le système mondial CBPR (document en anglais) et le système mondial de reconnaissance de protection de la vie privée pour les sous-traitants (PRP) (document en anglais), afin de « renforcer la confiance et assurer une plus grande transparence en ce qui a trait aux transferts transfrontaliers de renseignements personnels ». Ces systèmes visent à faciliter les flux de données transfrontaliers en fournissant un cadre qui permet aux organisations de se conformer aux lois sur la protection de la vie privée de plusieurs entités administratives, à savoir les membres du forum Global CBPR et les entités administratives associées. La consultation invite les organisations régies par la LPRPDE ou d'autres lois provinciales similaires, les potentiels agents de vérification de la conformité reconnus par le forum Global CBPR et d'autres parties prenantes intéressées à faire part de leurs commentaires. La consultation vise plus précisément à recueillir des avis sur les avantages et les difficultés liés à la mise en œuvre des systèmes CBPR et PRP, sur la pertinence des différents modèles des agents de vérification de la conformité, et sur les mesures à prendre pour maximiser les avantages de ces systèmes au Canada. Les parties prenantes peuvent soumettre leurs commentaires au moyen d'un formulaire de consultation en ligne au plus tard le 30 juin 2025.

Le commissaire à la protection de la vie privée du Canada lance un outil d'autoévaluation des risques d'atteinte à la vie privée

En mars 2025, le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a lancé un outil en ligne permettant aux organisations et aux institutions fédérales d'évaluer si une atteinte à la sécurité est susceptible d'entraîner un risque réel de préjudice grave pour un ou plusieurs individus. Cet outil, qui est accessible sur le site Web du Commissariat à la protection de la vie privée du Canada, peut aider les organisations à déterminer s'il est nécessaire d'aviser des gens à la suite d'une atteinte à la sécurité.

Europe

Entrée en vigueur du règlement relatif à l'espace européen des données de santé

Le règlement (UE) 2025/327 relatif à l'espace européen des données de santé (le « Règlement ») a été publié dans le Journal officiel de l'UE le 5 mars 2025.

Le Règlement vise à établir un cadre commun pour l'utilisation et l'échange de données de santé électroniques dans l'UE. Il permet notamment d'améliorer l'accès des personnes à leurs données de santé électroniques et leur contrôle sur ces données dans leurs dossiers médicaux électroniques (« DME »). La définition de l'expression « utilisation primaire » (dans le cadre des données de santé électroniques) est large et inclut la prestation de services de soins de santé, l'évaluation des soins de santé, ainsi que la fourniture de médicaments et de dispositifs médicaux. Le Règlement établit également un cadre de gouvernance pour l'« utilisation secondaire » des données de santé électroniques dans certains domaines comme la recherche, l'innovation et l'élaboration de politiques. En outre, le Règlement établit un cadre juridique et technique harmonisé pour les systèmes de DME, favorisant ainsi l'interopérabilité, l'innovation et le bon fonctionnement du marché intérieur.

Vers une simplification du RGPD?

La Commission européenne travaille actuellement sur un plan visant à assouplir la réglementation afin d'alléger les contraintes pesant sur les petites et moyennes entreprises sans toutefois toucher à l'objectif fondamental sous-jacent du régime, explique Michael McGrath, commissaire européen chargé de superviser les lois sur la protection des données, lors d'un entretien (en anglais seulement) récent au Center for Strategic and International Studies (CSIS). L'objectif est de permettre à ces entreprises de consacrer moins de temps et d'argent pour se conformer aux exigences juridiques et réglementaires complexes qu'impose le droit européen.

Michael McGrath nous rappelle d'ailleurs que l'objectif de l'Union européenne est de poursuivre la mise en œuvre et l'application complètes du cadre de protection des données.

États-Unis

Le décret empêchant le transfert à grande échelle des données personnelles des Américains entre en vigueur

Le département de la Justice américain a finalisé un règlement appliquant le décret 14117 (en anglais seulement), qui vise à empêcher le transfert à grande échelle des données personnelles des Américains et des données liées au gouvernement américain aux pays qui suscitent des inquiétudes. Depuis le 8 avril 2025 – hormis quelques exigences qui ont été reportées au 6 octobre 2025 –, le règlement interdit et restreint certaines opérations impliquant le transfert de données personnelles sensibles entre les personnes des États-Unis et les entités étrangères visées. Le nouveau cadre restreint le transfert de données personnelles sensibles comme les données biométriques et génomiques, les données financières, la géolocalisation, les données de santé et certains identificateurs.

Le non-respect du règlement pourrait entraîner des sanctions civiles et pénales importantes pouvant atteindre, respectivement, 368 136 $ ou deux fois le montant de la transaction, ou pouvant atteindre 1 000 000 $ et/ou inclure une peine d'emprisonnement maximale de 20 ans. Le règlement impose des exigences rigoureuses en matière de diligence raisonnable, de sécurité et d'audit, particulièrement en ce qui concerne les opérations avec certains pays, dont la Chine, l'Iran, la Corée du Nord, Cuba et la Russie. Afin de respecter la nouvelle réglementation, les organisations doivent mettre à jour leur processus de conformité, ce qui inclut notamment la vérification diligente des fournisseurs et la révision des dispositions contractuelles.

Les modifications proposées à la HIPAA devraient être mises en œuvre en 2025

Il est important pour toute organisation qui traite des informations sur la santé aux États-Unis de se familiariser avec la loi américaine intitulée Health Insurance Portability and Accountability Act (la « HIPAA »). En décembre 2024, le bureau des droits civils (Office for Civil Rights) du Department of Health and Human Services des États-Unis a publié un avis (en anglais seulement) de projet de réglementation concernant les modifications à la HIPAA. Les modifications proposées visent à renforcer les protections des informations de santé électroniques en imposant des contrôles de cybersécurité obligatoires aux organisations et en tenant compte de l'utilisation de nouveaux outils technologiques, comme l'intelligence artificielle, dans les soins de santé. Les consultations sur les propositions étaient ouvertes jusqu'au 7 mars 2025, et l'ensemble des soumissions sont en cours d'examen.

L'autorité californienne de protection de la vie privée parvient à un règlement avec Honda concernant des atteintes à la vie privée

La California Privacy Protection Agency (« CPPA ») a publié une déclaration (en anglais seulement) annonçant sa première entente avec Honda, qui a enfreint la loi californienne intitulée California Consumer Privacy Act. L'enquête sur Honda découlerait supposément d'un examen que la CPPA a effectué sur certaines pratiques relatives aux données des fabricants de véhicules connectés et sur les technologies connexes. Honda a été reconnue coupable de plusieurs infractions à la CCPA, dont le fait de demander aux consommateurs de lui fournir une quantité excessive de renseignements personnels pour refuser une vente ou le partage de leurs données, et de communiquer des renseignements personnels à des sociétés technologiques sans avoir mis en place les mesures de protection appropriées. Honda a accepté de payer une amende de 632 500 $ et de mettre en œuvre un nouveau système permettant aux consommateurs de faire valoir leurs droits en matière de protection de la vie privée.

