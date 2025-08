Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Canada

Le projet de loi fédéral C-8 a été déposé au Parlement

Le 18 juin 2025, le gouvernement fédéral a déposé au Parlement un nouveau projet de loi intitulé Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois. Ce projet de loi est presque identique au précédent, le projet de loi 26, qui a été présenté en 2022, mais qui n'a pas été adopté. Il vise à imposer à l'industrie des télécommunications des exigences supplémentaires en matière de cybersécurité, ainsi qu'une surveillance accrue de la part du gouvernement. On s'attend à ce que ce projet de loi soit une priorité pour le gouvernement fédéral et qu'il soit adopté au cours des prochains mois.

La Commission d'accès à l'information du Québec publie une décision concernant l'utilisation de la vidéosurveillance dans les véhicules d'entreprise

En mai 2025, la Commission d'accès à l'information du Québec (la « CAI ») a rendu une décision concernant l'utilisation de caméras embarquées par une organisation à des fins de sécurité et de surveillance des employés. La CAI a conclu que l'organisation n'avait pas utilisé les caméras conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec et a ordonné à l'organisation d'adapter ses pratiques de façon à s'y conformer. L'utilisation de la surveillance dans les véhicules est devenue une priorité pour de nombreux commissaires à la protection de la vie privée au Canada, de sorte que les organisations qui utilisent des systèmes de surveillance embarquée devraient examiner régulièrement leurs pratiques et politiques en matière de protection de la vie privée et envisager sérieusement de réaliser des évaluations des facteurs relatifs à la vie privée pour les outils de surveillance.

Le commissaire à la protection de la vie privée de la Colombie-Britannique publie des lignes directrices sur l'utilisation de comptes de courriel personnels au sein des organismes publics

En juillet 2025, le Bureau du commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique (le « CIPVP ») a publié un document d'orientation (en anglais seulement) fournissant aux organismes publics des renseignements sur l'utilisation par leurs employés de leurs comptes de courriel et de messagerie personnels à des fins professionnelles, de même que sur l'application de la Freedom of Information and Protection of Privacy Act (la « FIPPA »). La conclusion générale est que la FIPPA s'applique aux courriels et aux messages liés au travail, envoyés aux employés des organismes publics ou reçus à partir de leurs comptes personnels.

Europe

Le projet de loi du Royaume-Uni sur l'utilisation des données et l'accès aux données maintenant en vigueur

Le 19 juin 2025, la Data Use and Access Act 2025 du Royaume-Uni (en anglais seulement) (la « DUAA ») a été adoptée. La DUAA modifie le règlement général sur la protection des données du Royaume-Uni (le « RGPD du Royaume-Uni ») et le règlement de 2003 relatif à la directive sur la protection de la vie privée et les communications électroniques. La DUAA apporte des modifications aux dispositions concernant les transferts de données internationaux, la prise de décision automatisée, les témoins, la protection des données relatives aux enfants, et établit le cadre de confiance pour l'identité numérique. Le cadre de confiance pour l'identité numérique établit des règles pour les services de vérification numérique au Royaume-Uni. Les entreprises exerçant leurs activités au Royaume-Uni doivent tenir compte de ces changements afin de déterminer si elles respectent la législation.

Code de bonnes pratiques de l'IA à usage général

Le Code de bonnes pratiques aide le secteur à satisfaire à ses obligations découlant de la loi sur l'IA en ce qui concerne la sécurité et la transparence des modèles d'IA à usage général, ainsi que les questions de droit d'auteur liées à ceux-ci. Le Code de bonnes pratiques de l'IA à usage général (en anglais seulement) est un outil facultatif, préparé par des experts indépendants dans le cadre d'un processus multipartite, conçu pour aider le secteur à se conformer aux obligations que la loi sur l'IA impose aux fournisseurs de modèles d'IA à usage général. Ce code a été publié le 10 juillet 2025. Dans les semaines qui suivent, les États membres et la Commission européenne évalueront son adéquation. En outre, le code sera complété par des lignes directrices de la Commission sur les concepts clés liés aux modèles d'IA à usage général.

Les règles de l'UE en matière d'IA doivent être mises en œuvre conformément à la législation

Au cours des derniers mois, la Commission européenne a reçu de nombreuses demandes de la part d'organisations visant à suspendre la mise en œuvre de ses règles de principe sur l'intelligence artificielle. Toutefois, début juillet, la Commission européenne a rejeté ces demandes et a confirmé qu'elle procéderait à la mise en œuvre des règles de la loi sur l'IA de l'UE, comme le prévoit la législation. Ainsi, les obligations relatives aux modèles d'IA à usage général commenceront en août 2025 et celles relatives aux modèles à haut risque, en août 2026. Les organisations qui fournissent des produits d'IA au sein de l'UE devraient être prêtes et disposées à se conformer à la loi sur l'IA de l'UE, comme le prévoit la législation.

États-Unis

La cour du Texas annule des parties essentielles de la mise à jour des règles sur la protection de la vie privée de la HIPAA

Le 18 juin 2025, la cour de district du district Nord du Texas, aux États-Unis, a annulé (en anglais seulement) des parties clés de la mise à jour de 2024 des règles sur la protection de la vie privée de la HIPAA relative aux renseignements sur les soins de santé reproductive. La décision est déjà en vigueur et s'applique à l'ensemble des États-Unis. Les organisations ne sont plus tenues de se conformer aux obligations supplémentaires imposées par la nouvelle règle, notamment celle d'obtenir des attestations de la part de certains demandeurs de renseignements personnels sur la santé potentiellement liés aux soins de santé reproductive. Les organisations qui ont mis en œuvre des changements pour se conformer à la règle actualisée devraient envisager de revenir sur ces changements à la lumière de cette décision.

Une Cour d'appel américaine annule la règle de la Federal Trade Commission relative à l'option négative (cliquer pour annuler)

Le 8 juillet 2025, la Cour d'appel des États-Unis pour le huitième circuit a annulé (en anglais seulement) la règle de l'option négative (cliquer pour annuler) de la Federal Trade Commission (la « FTC »), laquelle devait entrer en vigueur le 14 juillet 2025. La règle exigeait que les organisations offrant des produits ou des services assortis d'une option négative divulguent toutes les conditions importantes aux consommateurs avant de collecter les renseignements aux fins de la facturation, obtiennent le consentement affirmatif du consommateur à l'option négative de la transaction, et fournissent au consommateur un mécanisme simple pour annuler l'option négative et tous les frais récurrents à tout moment. La Cour a jugé que la FTC n'avait pas fourni l'analyse réglementaire préliminaire requise avant de finaliser la règle, ce qui l'a amenée à l'annuler.

