Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne
Ce bulletin mensuel a été préparé par l'équipe nationale Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l'un des sujets abordés, veuillez communiquer avec notre sympathique équipe d'avocats et avocates en protection des renseignements personnels et en cybersécurité.
Les actualités à noter ce mois-ci
La Commission d'accès à l'information du Québec publie une version mise à jour de son guide d'évaluation des facteurs relatifs à la vie privée
Le 1er avril 2024, la Commission d'accès à l'information du Québec (soit l'autorité compétente en matière de vie privée du Québec) a publié une version mise à jour de son guide sur l'évaluation des facteurs relatifs à la vie privée. La Commission indique que l'aspect visuel et la structure du guide ont été modifiés, mais que le contenu demeure essentiellement le même.
Règlement du Québec sur l'anonymisation des renseignements personnels
Le Règlement sur l'anonymisation des renseignements personnels du Québec a été adopté le 15 mai 2024 et entrera en vigueur le 30 mai 2024. Il établit les règles relatives à l'anonymisation des renseignements personnels comme solution de rechange à la destruction. Ainsi, les organisations qui souhaitent anonymiser des renseignements personnels doivent d'abord déterminer les fins auxquelles elles entendent utiliser les données anonymisées. Elles doivent ensuite prendre en compte les critères dérivés du RGPD de l'UE, à savoir la corrélation, l'inférence et l'individualisation, et mettre en place un registre d'anonymisation.
L'Ontario propose de renforcer la cybersécurité
Le 13 mai 2024, le gouvernement de l'Ontario a présenté un nouveau projet de loi : la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. Le projet de loi vise à promouvoir la cybersécurité au sein du gouvernement de l'Ontario et d'autres organismes du secteur public. Il prévoit également le renforcement des mesures de protection des données des enfants et jette les bases d'une utilisation éthique de l'intelligence artificielle.
Le Colorado étend le droit à la vie privée aux données neuronales
Le 17 avril 2024, le Colorado a adopté le H.B. 1058 (en anglais seulement), un projet de loi qui élargit la définition de « donnée sensible » dans la loi sur la protection des renseignements personnels de l'État pour y inclure les données biologiques et neuronales générées par le cerveau, la moelle épinière et le réseau des nerfs qui transmettent les messages dans tout le corps. Le Colorado est ainsi le premier État à accorder explicitement les protections conférées par une loi étatique sur la protection de la vie privée aux données neuronales.
Le Colorado adopte un nouveau projet de loi sur l'IA
Toujours au Colorado, un projet de loi historique visant à encadrer l'IA a été adopté le 8 mai 2024. Le projet de loi 205 du Sénat (en anglais seulement), la loi sur l'intelligence artificielle du Colorado, s'inspire de la loi sur l'IA de l'Union européenne en ce sens qu'il adopte une approche fondée sur le risque à l'égard de l'IA et établit des règles concernant les systèmes à risque élevé, en plus de créer des obligations quant aux situations où l'utilisation de l'IA doit être divulguée. Il exige que les développeurs et les fournisseurs de systèmes d'IA prennent « des mesures raisonnables » pour prévenir la discrimination algorithmique dans les systèmes à risque élevé, soit les systèmes qui prennent ou aident à prendre des décisions ayant des conséquences significatives, comme celles liées à l'éducation, à l'emploi, aux finances, au logement, aux soins de santé ou aux services juridiques. La loi proposée impose également des obligations aux fournisseurs de systèmes d'IA à risque élevé, y compris en matière de gestion des risques et de gouvernance.
L'Union européenne adopte le Règlement sur l'identité numérique
Le 30 avril 2024, l'UE a publié le règlement (UE) 2024/1183 en ce qui concerne l'établissement du cadre européen relatif à une identité numérique. Il entrera en vigueur le 20 mai 2024 et vise à faciliter la transformation numérique du secteur public, ce qui permettra un meilleur accès aux services numériques, y compris les services transfrontaliers. Il crée un cadre juridique pour divers processus électroniques, comme les signatures, les cachets, les horodatages, les documents, les services d'envoi recommandé, les services de certificats pour l'authentification de sites Web, l'archivage, l'attestation d'attributs et les dispositifs de création de signatures et de cachets. Il sera plus facile pour les entreprises de fournir des services en ligne dans toute l'Europe grâce au portefeuille d'identité numérique, qui assurera une authentification sécurisée pour tous les clients potentiels dans l'UE. Chaque État membre proposera au moins une version du portefeuille d'identité numérique de l'UE, qui devra respecter des spécifications communes.
Le Parlement européen adopte le Règlement européen sur les données de santé
Le 24 avril 2024, le Parlement européen a adopté le Règlement relatif à l'espace européen des données de santé. Ce règlement vise à améliorer l'accès aux dossiers médicaux au sein de l'Union européenne et l'interopérabilité entre les prestataires de soins de santé ainsi qu'à élargir l'utilisation des données relatives aux soins de santé dans le cadre d'initiatives de recherche, ce qui permettra d'innover en matière de nouveaux médicaments et de dispositifs médicaux. Le Conseil européen doit encore donner son approbation définitive avant que le projet ne devienne loi. Les organisations devraient donc rester à l'affût de nouvelles mises à jour à ce sujet.
Le Connecticut adopte un nouveau projet de loi sur l'IA
Le 24 avril 2024, le Sénat du Connecticut a adopté le projet de loi 2 du Sénat(en anglais seulement), une étape importante vers une réglementation exhaustive de l'IA aux États-Unis. S'il est promulgué, ce projet de loi sera l'une des premières mesures législatives (voir le nouveau projet de loi sur l'IA du Colorado ci-dessus) régissant le développement et le déploiement de l'IA dans le secteur privé, semblable à ce que prévoit la loi sur l'IA de l'Union européenne. La loi entrerait en vigueur le 1er février 2026.
Le comité européen de la protection des données se prononce sur les modèles « consentement ou paiement »
Le 17 avril 2024, le Comité européen de la protection des données (« CEPD ») a émis un avis sur la validité du consentement dans le modèle « consentement ou paiement » qui a été adopté par Meta en novembre 2023. Pour ceux et celles qui ne le savent pas, un modèle « consentement ou paiement » est un modèle dans le cadre duquel une plateforme offre aux utilisateurs la possibilité d'utiliser gratuitement ses services à condition qu'ils consentent à être assujettis à une publicité comportementale ou de payer un abonnement pour utiliser la plateforme sans publicité. Le CEPD a décidé que, pour la plupart des plateformes en ligne, le modèle « consentement ou paiement » ne respecte pas les exigences en matière de consentement du RGPD « [si elles] ne confrontent les utilisateurs qu'à un choix entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance ». Voilà un élément à garder en tête pour les organisations qui utilisent un tel modèle ou envisagent de le faire.
Le Maryland adopte une nouvelle loi sur la protection de la vie privée des consommateurs
Le 6 avril 2024, l'assemblée législative du Maryland a adopté sa propre loi sur la protection de la vie privée des consommateurs, la Maryland Online Data Privacy Act. La loi entrera en vigueur le 1er octobre 2025 et sera appliquée à compter du 1er avril 2026. Bien qu'elle présente de nombreuses similitudes avec les lois d'autres États sur la protection de la vie privée des consommateurs, il existe certaines différences que les organisations devraient connaître. Pour l'instant, les organisations peuvent examiner la version actuelle du projet de loi ici (en anglais seulement).
Pour rire un peu :
Afin de terminer sur une note plus divertissante : certaines entreprises ont recours à des stratégies ingénieuses pour encourager les utilisateurs de leurs services à lire leur documentation contractuelle (ou pour prouver quelque chose). Dans le cadre d'une expérience, un laboratoire d'idées du Royaume-Uni (en anglais seulement) a caché une clause dans sa politique sur la protection de la vie privée qui promettait l'envoi d'une bonne bouteille de vin à la première personne qui lirait la clause. Celle-ci a été ajoutée en février, et la première personne s'est manifestée en mai. Ironiquement, c'était quelqu'un qui devait rédiger sa propre politique de confidentialité et qui en lisait d'autres pour obtenir des exemples.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.