Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec un des membres du groupe Protection des renseignements confidentiels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.
Canada
Les commissaires canadiens à la protection de la vie privée publient une résolution conjointe en vue de repérer et d'atténuer les préjudices découlant des mécanismes de conception trompeuse relatifs à la protection de la vie privée
Les commissaires à la protection de la vie privée et les ombudsmans du Canada ont publié une résolution conjointe exhortant les organisations à éviter l'utilisation de mécanismes de conception trompeuse sur leurs sites Web et leurs applications mobiles. Ces mécanismes de conception trompeuse, aussi appelés « interfaces truquées » ou « dark patterns » en anglais, sont utilisés dans le but d'influencer, de manipuler ou de contraindre les utilisateurs à prendre des décisions qui compromettent la protection de leurs renseignements personnels. Cette résolution a été adoptée lors de la réunion annuelle des commissaires à la protection de la vie privée du Canada, qui a eu lieu à Toronto en octobre dernier. Elle fait suite à une enquête (en anglais seulement) sur les sites Web et les applications menée par le Global Privacy Enforcement Network (réseau mondial d'application des lois sur la protection de la vie privée – GPEN).
Pour en savoir plus, consultez notre récent bulletin intitulé Sites Web, applications et protection de la vie privée : leçons tirées du rapport du CPVP sur les mécanismes de conception trompeuse.
Les autorités de protection de la vie privée du monde entier publient une déclaration commune finale sur l'extraction de données après avoir consulté l'industrie
Le Commissaire à la protection de la vie privée du Canada et plusieurs de ses homologues du monde entier expliquent de quelle façon les entreprises de médias sociaux peuvent mieux protéger les renseignements personnels dans le contexte de l'extraction massive de données provenant des plateformes de médias sociaux. La déclaration commune publiée l'an dernier traite des principaux risques pour la vie privée que pose l'extraction de données, c'est-à-dire l'extraction automatisée de données à partir du Web, y compris des plateformes de médias sociaux et d'autres sites Web qui hébergent des renseignements personnels accessibles au public.
La déclaration commune finale énonce d'autres attentes, notamment que les organisations entreprennent ce qui suit :
- Se conformer aux lois sur la protection des renseignements personnels et des données lorsqu'elles utilisent des renseignements personnels (y compris ceux provenant de leurs propres plateformes) pour élaborer de grands modèles de langage à l'aide de l'intelligence artificielle;
- Déployer une série de mesures de protection combinées, et les réviser et les mettre à jour régulièrement pour tenir compte de l'évolution des techniques et des technologies d'extraction;
- S'assurer que l'extraction de données à des fins commerciales ou socialement bénéfiques est légitime et conforme à des modalités contractuelles strictes.
Québec
Une nouvelle présidente à la Commission d'accès à l'information du Québec
L'Assemblée nationale du Québec a procédé à la nomination de Me Lise Girard à titre de présidente de la Commission d'accès à l'information. Elle est entrée en fonction le 8 novembre.
Le Québec adopte le règlement sur la gestion et le signalement des incidents de sécurité de l'information de certaines institutions financières et des agents d'évaluation du crédit
À compter du 23 avril 2025, un nouveau règlement touchera certains acteurs du secteur financier québécois. Ce règlement exige l'adoption d'une politique de gestion des incidents de sécurité de l'information et la désignation officielle d'une personne responsable de ce processus. Les incidents qui dépassent un seuil de risque déterminé doivent être signalés à l'Autorité des marchés financiers dans un délai de 24 heures; des mises à jour doivent ensuite être effectuées tous les trois jours et un rapport final doit être présenté dans un délai de 30 jours. De plus, tous les incidents doivent être consignés dans un registre conservé pendant cinq ans. Le non-respect de ces exigences peut entraîner, pour les organisations, des sanctions administratives de 1 000 $ ou de 2 500 $.
États-Unis
Le Consumer Financial Protection Bureau publie des lignes directrices en matière de surveillance numérique des employés
Étant donné l'augmentation du travail numérique et à distance, les sociétés technologiques ont mis au point des outils pour aider les organisations à suivre et à évaluer leurs employés en ligne. Certains employeurs surveillent les interactions de leurs employés en matière de ventes, leurs habitudes de conduite, le temps qu'ils prennent pour accomplir leurs tâches, le nombre de messages qu'ils envoient, ainsi que le nombre et la durée des réunions auxquelles ils assistent. Ces renseignements sont utilisés dans le cadre des décisions liées à l'embauche et à la rémunération ainsi que pour la gestion des employés de façon plus générale, y compris la prise de mesures disciplinaires. Ces lignes directrices (en anglais seulement) précisent que les organisations qui utilisent des outils algorithmiques et des rapports sur le consommateur de tiers aux fins de l'évaluation des employés doivent se conformer à la loi intitulée Fair Credit Reporting Act.
Europe
Premier rapport au titre du cadre de protection des données UE-États-Unis
Le comité européen de la protection des données (« CEPD ») a adopté son premier rapport au titre du cadre de protection des données UE-États-Unis et une déclaration sur les recommandations relatives à l'accès aux données par les autorités chargées de l'application de la loi.
En ce qui concerne le cadre de protection des données, il prend note de plusieurs évolutions :
- Le ministère américain du commerce a mis en Suvre le processus de certification en développant un nouveau site Web, en mettant à jour les procédures, en nouant le dialogue avec les entreprises et en menant des activités de sensibilisation.
- Le mécanisme de recours pour les citoyens de l'UE a été mis en Suvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d'autre de l'Atlantique.
En ce qui concerne les recommandations sur l'accès aux données à caractère personnel par les autorités publiques des États-Unis, le CEPD a mis l'accent sur la mise en Suvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Bien qu'elle reconnaisse que les éléments du mécanisme de recours sont établis, la Commission européenne doit contrôler le fonctionnement pratique de ces différentes garanties, notamment l'application des principes de nécessité et de proportionnalité ainsi que les évolutions futures liées à la loi américaine intitulée Foreign Intelligence Surveillance Act.
Enfin, le comité recommande que le prochain réexamen de la décision d'adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.
Les concurrents peuvent intenter une poursuite pour violation de la protection des données
Une Cour fédérale de justice allemande a demandé à la CJUE si le RGPD autorisait les lois nationales permettant aux concurrents d'intenter des poursuites pour des violations alléguées du RGPD. Dans sa décision C-21/23 (en anglais seulement) datée du 4 octobre 2024 (ND c. DR), la CJUE a statué que le RGPD n'empêche pas les lois nationales de permettre de telles actions en justice sur le fondement de pratiques commerciales déloyales devant les tribunaux civils.
En outre, la CJUE a statué que les données saisies par les clients de pharmacies au moment de passer des commandes en ligne constituent des données sur la santé aux termes du RGPD, puisqu'elles peuvent fournir des indications sur l'état de santé d'une personne.
Nouvelle directive en matière de responsabilité du fait des produits tenant compte de l'IA
Le 18 novembre 2024, la directive de l'UE 2024/2853 relative à la responsabilité du fait des produits défectueux est entrée en vigueur, remplaçant la directive de 1985. Cette révision tient compte des lacunes juridiques découlant des progrès de l'intelligence artificielle (IA), des modèles dans le domaine de l'économie circulaire et des chaînes d'approvisionnement mondiales. Elle clarifie la définition du terme « produit » afin d'assurer la cohérence juridique et la protection des consommateurs. La nouvelle directive sur la responsabilité du fait des produits couvre maintenant aussi les produits numériques, comme les documents de design numériques et les logiciels, y compris les systèmes d'IA. De plus, les développeurs ou les fabricants de logiciels, y compris les fournisseurs de systèmes d'IA au sens du règlement (EU) 2024/1689 sur l'IA, sont considérés comme des fabricants aux termes de la directive. Par conséquent, ils peuvent être tenus responsables des dommages causés par l'utilisation de leurs systèmes d'IA, même sans lien contractuel entre le fabricant du logiciel et le demandeur.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
