Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Canada

Le gouvernement fédéral met à jour sa page web sur l'utilisation responsable de l'IA au gouvernement

Le 1er août 2024, le gouvernement du Canada a mis à jour sa page consacrée à l'utilisation responsable de l'intelligence artificielle (« IA ») dans l'appareil gouvernemental. Cette page mise à jour constitue une ressource précieuse pour comprendre les technologies d'IA et les déployer. Elle propose un ensemble d'outils et de lignes directrices, y compris un guide sur l'IA générative, une directive sur la prise de décisions automatisée et un outil d'évaluation de l'incidence algorithmique. La page présente également les principes fondamentaux de l'utilisation de l'IA au sein du gouvernement, ainsi qu'une chronologie de la progression de l'IA.

Le ministère de la Cybersécurité et du Numérique du Québec adopte un ensemble de dix principes directeurs pour l'utilisation responsable de l'IA dans les services publics

Dans le cadre de son engagement pour une utilisation éthique et responsable de l'IA dans les services publics, le ministère de la Cybersécurité et du Numérique a adopté, le 7 août 2024, un ensemble de dix principes directeurs. Ces principes visent à promouvoir le respect des droits des individus, l'inclusion, l'équité, la fiabilité, la sécurité, l'efficacité, la durabilité, la transparence, l'explicabilité et la responsabilité dans le déploiement de l'IA. Ils exigent également des organismes publics qu'ils assurent la formation et la compétence de leur personnel concernant l'utilisation des technologies d'IA, en vue d'améliorer la qualité des services offerts aux citoyens et aux entreprises ainsi que de protéger les renseignements personnels et l'intégrité des systèmes.

Le commissariat à la protection de la vie privée du Canada conclut un protocole d'entente avec les États-Unis sur le partage d'information

Le 28 août 2024, le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a signé un protocole d'entente avec la Commission fédérale des communications des États-Unis (United States Federal Communications Commission). Ce protocole d'entente vise à renforcer la coopération entre le Canada et les États-Unis en permettant aux deux autorités de contrôle d'échanger des informations afin d'assurer le respect des lois dans les deux pays et de partager leurs connaissances et leur expertise en matière de politiques réglementaires.

États-Unis

La California Consumer Privacy Act est modifiée pour exiger que les navigateurs et les appareils mobiles prennent en charge les préférences en matière de refus

Le 27 août 2024, le Sénat de la Californie a adopté le projet de loi AB 3048 (en anglais seulement), qui modifie la California Consumer Privacy Act (loi californienne sur la protection des renseignements personnels des consommateurs). Cette modification exige que tous les fournisseurs de navigateurs et de systèmes d'exploitation mobiles permettent aux consommateurs d'envoyer un signal de refus, comme le Global Privacy Control, à une entreprise avec laquelle ils interagissent. Ce projet de loi doit encore être adopté par l'assemblée et entériné par le gouverneur de Californie, mais il devrait aller de l'avant sans problème.

Europe

L'autorité néerlandaise de protection des données impose des amendes à Clearview AI et à Uber

L'autorité néerlandaise de protection des données (l'« autorité néerlandaise ») a été particulièrement active ces derniers mois.

Premièrement, elle a imposé (en anglais seulement) à Clearview AI une amende de 30,5 millions d'euros et des ordonnances rendant celle-ci passible d'une pénalité de plus de 5 millions d'euros pour non-conformité, car Clearview AI a créé une base de données illégale contenant des milliards de photos de visages, y compris de personnes néerlandaises. L'autorité néerlandaise prévient que l'utilisation des services de Clearview est également interdite. Plus précisément, Clearview moissonne ces photos d'Internet et les convertit ensuite en un code biométrique unique par visage, à l'insu des personnes concernées et sans leur consentement.

L'autorité néerlandaise a également imposé (en anglais seulement) une amende de 290 millions d'euros à Uber. L'autorité néerlandaise a conclu qu'Uber avait transféré les données personnelles des chauffeurs de taxi européens aux États-Unis (É.-U.) et ne les avait pas protégées adéquatement. L'autorité néerlandaise a constaté qu'Uber recueillait, entre autres, des renseignements sensibles sur les chauffeurs européens et les conservait sur les serveurs d'Uber aux États-Unis. Il s'agit des détails du compte et des permis de taxi, mais aussi des données de localisation, des photos, des informations de paiement, des pièces d'identité et même, dans certains cas, des données relatives aux antécédents criminels et médicaux des chauffeurs.

Ce transfert s'est fait sans l'utilisation d'outils de transfert (notamment les clauses contractuelles types). Selon l'autorité néerlandaise, il s'agit d'une violation grave du Règlement général sur la protection des données (RGPD). Entre-temps, Uber a mis fin à la violation.

La Commission de l'EU lance une consultation sur les clauses contractuelles types

À la suite de la décision concernant Uber, la Commission européenne a décidé de lancer une consultation sur les clauses contractuelles types pour le transfert vers des responsables du traitement ou des sous-traitants de pays tiers soumis au RGPD. Ces nouvelles clauses éventuelles visent le cas précis où l'importateur de données est situé dans un pays tiers, mais est directement assujetti au RGPD. Elles complètent les CCT existantes, qui peuvent être utilisées pour les transferts de données à des importateurs de données de pays tiers qui ne sont pas assujettis au RGPD.

