Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Canada

Le gouvernement fédéral adopte une nouvelle directive sur les évaluations des facteurs relatifs à la vie privée pour les institutions fédérales

Le 11 octobre 2024, le gouvernement fédéral a publié une directive sur les pratiques relatives à la protection de la vie privée visant à uniformiser les pratiques de gestion de la protection des renseignements personnels et à accroître la transparence de l'information transmise au public. Cette directive est axée sur la protection des renseignements personnels tout au long de leur cycle de vie, ce qui en englobe la création, la collecte, la conservation, l'usage, la communication et le retrait par les institutions fédérales ou par des tiers agissant dans le cadre d'un contrat, d'un accord d'échange de renseignements ou d'une entente d'échange de renseignements avec une institution fédérale.

Toutefois, un comité parlementaire a jugé cette directive insuffisante et a présenté 14 recommandations au gouvernement, dont certaines visent à renforcer la Loi sur la protection des renseignements personnels, qui s'applique aux institutions fédérales. Le Comité demande au gouvernement d'y inclure une obligation légale explicite pour les institutions fédérales de faire des évaluations des facteurs relatifs à la vie privée avant d'adopter des outils technologiques à haut risque. Cette mesure permettrait de s'assurer que les répercussions de ces outils sur la vie privée soient évaluées soigneusement et prises en compte avant leur déploiement.

Le Sénat complète la deuxième lecture du projet de loi canadien C-26 sur la cybersécurité

Le 23 octobre 2024, le Sénat du Canada a complété la deuxième lecture du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois. Déposé en juin 2022, ce projet de loi est censé imposer d'importantes exigences en matière de cybersécurité aux industries sous réglementation fédérale et de nouvelles exigences en matière de sécurité nationale au secteur des télécommunications. La fin de la deuxième lecture rapproche le projet de loi C-26 de son adoption. Il fera maintenant l'objet d'un examen par le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants avant d'être soumis à la troisième (et dernière) lecture au Sénat. Pour plus de renseignements concernant le projet de loi C-26, veuillez consulter notre bulletin de 2022 ici.

États-Unis

Le Montana adopte une loi sur la protection de la vie privée des consommateurs

Le 1ᵉʳ octobre 2024, la Consumer Data Privacy Act (en anglais seulement) est entrée en vigueur au Montana, dernier État à s'être doté d'une loi exhaustive sur la protection de la vie privée. La nouvelle loi s'applique aux personnes qui exercent des activités au Montana ou qui offrent des produits ou services aux résidents du Montana et qui (1) traitent les données personnelles d'au moins 50 000 consommateurs du Montana ou (2) traitent les données personnelles d'au moins 25 000 consommateurs du Montana et tirent plus de 25 % de leurs revenus bruts de la « vente » de données personnelles.

Europe

Le non-respect du RGPD n'entraîne pas systématiquement l'imposition d'une sanction

La Cour de justice de l'Union européenne (la « CJUE ») rappelle que lorsqu'une violation de données à caractère personnel a été constatée, l'autorité de contrôle n'est pas tenue d'adopter une mesure correctrice, en particulier une amende administrative, lorsque cette mesure n'est pas appropriée, nécessaire ou proportionnée pour remédier à l'insuffisance constatée et pour garantir le plein respect du règlement.

La CJUE a rendu une décision importante dans l'affaire C-446/21 Schrems (Communication de données au grand public). Un réseau social en ligne ne peut utiliser toutes les données à caractère personnel obtenues à des fins de publicité ciblée sans limitation dans le temps et sans distinction en fonction de la nature des données. Il s'agit d'une application pratique du principe de minimisation des données du RGPD. De plus, le fait qu'une personne ait divulgué son orientation sexuelle lors d'une table ronde ne justifie pas l'utilisation de ces données à l'extérieur de la plateforme à des fins de publicité personnalisée.



Le CEPD va collaborer avec la Commission européenne pour élaborer des orientations sur l'interaction entre le RGPD et la LMN.

Ce dialogue amélioré (en anglais seulement) entre les services de la Commission et le Comité européen de la protection des données (le « CEPD ») sera axé sur les obligations applicables aux contrôleurs d'accès (digital gatekeepers) en vertu de la Loi sur les marchés numériques (la « LMN »), lesquelles se recoupent avec celles du RGPD, compte tenu du besoin d'appliquer les cadres réglementaires pour les contrôleurs d'accès de manière cohérente. En effet, il importe de développer une interprétation cohérente de la LMN et du RGPD, tout en respectant les compétences des organismes de réglementation concernés dans les domaines où le RGPD s'applique et dans ceux où la LMN y fait référence. Cela permettra une mise en œuvre efficace des deux cadres réglementaires et l'atteinte de leurs objectifs respectifs et complémentaires.

Le Conseil de l'Union européenne adopte de nouvelles exigences en matière de cybersécurité

Le 10 octobre 2024, le Conseil de l'Union européenne a adopté un nouveau règlement sur les exigences de cybersécurité pour les produits comportant des éléments numériques afin de s'assurer que les produits comme les caméras, les réfrigérateurs, les téléviseurs et les jouets connectés sont sécuritaires avant leur mise en marché (le « Règlement sur la cyberrésilience »). Le nouveau règlement vise à combler les lacunes, à clarifier les liens et à rendre le cadre législatif actuel en matière de cybersécurité plus cohérent, en veillant à ce que les produits comportant des éléments numériques, par exemple les produits de l'« Internet des objets » (IdO), soient sécurisés à tous les stades de la chaîne d'approvisionnement et tout au long de leur cycle de vie.

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l'intérêt légitime, une déclaration sur le projet de règlement relatif à l'application du RGPD et un programme de travail 2024-2025

Au cours de sa dernière séance plénière, le CEPD a adopté un avis sur certaines obligations découlant du recours aux sous-traitants et sous-traitants ultérieurs, des lignes directrices sur l'intérêt légitime, une déclaration sur l'établissement de règles de procédure supplémentaires pour l'application du RGPD et un programme de travail 2024-2025.

Avis 22/2024 sur certaines obligations découlant du recours aux sous-traitants et sous-traitants ultérieurs : (en anglais seulement) le CEPD considère notamment que : Les responsables du traitement devraient avoir facilement accès aux renseignements d'identification (c.-à-d. le nom, l'adresse, la personne-ressource) de tous les sous-traitants, sous-traitants ultérieurs, etc., en tout temps afin qu'ils puissent s'acquitter au mieux de leurs obligations en vertu de l'article 28 du RGPD, sans égard au risque associé à l'activité de traitement. Le recours à des sous-traitants ne devrait pas diminuer le niveau de protection des droits des personnes concernées. L'obligation du responsable du traitement de s'assurer que les sous-traitants et sous-traitants ultérieurs présentent des « garanties suffisantes » quant à la mise en œuvre des mesures appropriées déterminées par le responsable du traitement devrait s'appliquer sans égard au risque pour les droits et libertés des personnes concernées. Bien que le sous-traitant initial doive s'assurer de proposer des sous-traitants ultérieurs présentant des garanties suffisantes, même dans le contexte du transfert de renseignements personnels entre deux sous-traitants, la décision finale de retenir les services d'un sous-traitant en particulier et la responsabilité connexe, y compris en ce qui concerne la vérification des garanties, incombent au responsable du traitement. L'engagement du sous-traitant à ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins que le sous-traitant ne soit tenu de les traiter en vertu du droit de l'Union ou de l'État membre auquel il est soumis, rappelle le principe général selon lequel les contrats ne peuvent prévaloir sur la loi.

Lignes directrices 1/2024 sur le traitement des données personnelles fondé sur un intérêt légitime : (en anglais seulement) Les lignes directrices offrent des indications quant à la façon d'évaluer l'intérêt légitime en pratique, y compris dans un certain nombre de contextes particuliers (p. ex., prévention de la fraude, prospection, sécurité de l'information, etc.), et sur l'interaction entre l'article 6(1)(f) du RGPD et un certain nombre de droits des personnes concernées en vertu du RGPD.

Déclaration 4/2024 sur les développements récents entourant le projet de règlement établissant des règles de procédure supplémentaires pour l'application du RGPD (en anglais seulement) Le CEPD a adopté une déclaration à la suite des modifications apportées par le Parlement européen et le Conseil de l'Union européenne à la proposition de règlement établissant des règles de procédure supplémentaires relatives à l'application du RGPD de la Commission européenne. De manière générale, la déclaration salue les modifications introduites par le Parlement européen et le Conseil et recommande d'aborder d'autres éléments particuliers afin que le nouveau règlement permette de simplifier la coopération entre les autorités et d'améliorer l'application du RGPD.



Le CEPD adopte les lignes directrices 2/2023 sur le champ d'application technique de l'art. 5(3) de la directive vie privée et communications électroniques (ePrivacy)

Le CEPD a adopté la version finale de ses lignes directrices sur le champ d'application technique de l'article 5(3) de la directive vie privée et communications électroniques (ePrivacy) (en anglais seulement) en octobre 2024. Dans ces lignes directrices, le CEPD traite de l'applicabilité de l'article 5(3) à différentes solutions techniques. Les lignes directrices s'appuient sur l'avis 9/2014 du groupe de travail « Article 29 » concernant l'application de la directive vie privée et communications électroniques aux dispositifs de saisie d'empreintes digitales et visent à clarifier les opérations techniques couvertes par l'article 5(3) de cette même directive.

