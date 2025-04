Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Canada

Le commissaire à la protection de la vie privée du Canada demande à la Cour fédérale d'ordonner à l'exploitant de Pornhub de se conformer aux lois sur la protection des renseignements personnels

La commissaire à la protection de la vie privée du Canada a déposé un avis de demande auprès de la Cour fédérale en vue d'obtenir une ordonnance enjoignant à Aylo, un exploitant de sites Web pornographiques, de se conformer aux lois canadiennes sur la protection des renseignements personnels. Cet avis intervient un an après que le commissaire a publié les conclusions d'une enquête sur la conformité d'Aylo à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale. L'enquête a été ouverte à la suite d'une plainte déposée par une femme dont l'ex-petit ami a téléversé des images intimes d'elle sur les sites d'Aylo sans son consentement. Le commissaire a conclu qu'Aylo permettait la mise en ligne de contenu de nature sensible sans avoir obtenu le consentement éclairé des personnes concernées et ne proposait pas de mécanisme simple à utiliser et efficace permettant aux personnes de faire retirer le contenu en question.

La demande du commissaire indique que les pratiques d'Aylo ne garantissent toujours pas l'obtention d'un consentement éclairé des personnes figurant sur les vidéos diffusées sur ses sites, malgré des changements récents. Contrairement au commissaire, la Cour fédérale peut imposer des ordonnances contraignantes aux organisations pour qu'elles se conforment à la LPRPDE.

La Commission d'accès à l'information du Québec interdit à un épicier de déployer un système de reconnaissance faciale

Le 18 février 2025, la Commission d'accès à l'information du Québec (CAI) a rendu une décision concernant le projet pilote d'un supermarché visant à mettre en place un système de reconnaissance faciale dans certains magasins. L'objectif du projet était de lutter contre le vol à l'étalage et la fraude en utilisant des caméras de surveillance pour capter les images des personnes qui entrent et sortent des établissements, sans leur consentement. L'enquête de la CAI a soulevé des enjeux en lien avec la conformité de ce système biométrique avec la loi québécoise sur la protection des renseignements personnels dans le secteur privé et la Loi concernant le cadre juridique des technologies de l'information. En conséquence, la CAI a interdit à l'entreprise de mettre en œuvre la banque de données biométriques proposée, en invoquant une atteinte au droit à la vie privée et la nécessité de se conformer aux normes juridiques pour implanter de telles technologies.

La Commission d'accès à l'information du Québec publie un mémoire sur l'utilisation de l'IA en milieu de travail

Le 21 février 2025, la CAI a publié le mémoire sur l'utilisation de l'IA en milieu de travail qu'elle avait présenté au ministère du Travail du Québec plus tôt en janvier. Il aborde les répercussions de l'IA et des technologies de surveillance sur les milieux de travail, en soulignant la nécessité d'un encadrement juridique plus adapté pour protéger les renseignements personnels des employés. La CAI reconnaît que, lorsqu'elle est déployée dans des conditions favorables, l'IA peut offrir des avantages aux employeurs et aux employés, tels que la création d'emplois et l'amélioration de l'expérience professionnelle. Toutefois, le mémoire met en lumière des préoccupations quant à l'utilisation croissante des technologies de surveillance, y compris les systèmes biométriques tels que la reconnaissance faciale et la lecture des empreintes digitales, qui peuvent porter atteinte au droit à la vie privée des employés. La CAI invite à l'adoption d'une réglementation claire, à une transparence et à des évaluations accrues, afin de garantir que le déploiement de l'IA et des technologies connexes sur les lieux de travail respecte les droits fondamentaux des employés.

Europe

Les enfants et l'IA générative

Le 18 février 2025, le Service de recherche du Parlement européen (EPRS) a publié un document intitulé « At a Glance » (en anglais seulement), qui met en évidence les lacunes en matière d'éducation sur l'IA et la vie numérique pour les enfants, malgré les protections de l'UE telles que le Règlement sur les services numériques et la Loi sur l'IA. L'EPRS appelle à une meilleure compréhension de l'IA, à une réduction du fossé numérique et au développement d'indicateurs communs pour mesurer l'impact de l'IA sur les enfants dans l'UE.

L'automatisation des demandes de crédit: une personne concernée a le droit à des explications sur la manière dont une décision est prise

Dans la décision C203-22, la CJUE a déclaré (en anglais seulement) que l'explication fournie devait permettre à une personne concernée de comprendre et de contester une décision automatisée.

En Autriche, un opérateur de téléphonie mobile a refusé de conclure un contrat avec une personne au motif qu'elle ne présentait pas une solvabilité financière suffisante. L'opérateur a fondé sa décision sur une évaluation de la solvabilité effectuée de manière automatisée par Dun & Bradstreet Austria, une firme spécialisée dans ce type d'évaluation.

Selon la CJUE, le responsable du traitement doit décrire la procédure et les principes concrètement appliqués, de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées, et de quelle manière lors de la prise de décision automatisée en cause. Afin de répondre aux exigences de transparence et d'intelligibilité, il pourrait notamment être approprié d'informer la personne concernée de la mesure dans laquelle une modification des données à caractère personnel prises en compte aurait conduit à un résultat différent. En revanche, la simple communication d'un algorithme ne saurait constituer une explication suffisamment concise et compréhensible.

La CJEU clarifie le calcul des amendes RGPD pour les entreprises

Le 13 février 2025, la CJUE a publié une décision (en anglais seulement) dans l'affaire C-383/23 qui clarifie la méthodologie et la portée du calcul des amendes pour les entreprises en vertu du RGPD de l'UE.

L'affaire concernait ILVA A/S, une filiale du groupe Lars Larsen. La CJUE a décidé que la notion d'« entreprise » figurant à l'article 83, paragraphes 4 à 6, du RGPD devait être interprétée conformément au droit de la concurrence de l'UE, en particulier selon les articles 101 et 102 du Traité sur le fonctionnement de l'Union européenne (TFUE). Dans ce contexte, la notion d'« entreprise » désigne une unité économique exerçant des activités commerciales, quelle que soit sa forme juridique. Cela inclut les sociétés par actions, les entreprises individuelles et les sociétés de personnes. À ce titre, la CJUE a jugé que l'amende maximale devait être basée sur le chiffre d'affaires annuel mondial total du groupe Lars Larsen, et non sur le seul chiffre d'affaires d'ILVA. La CJUE a souligné que les amendes devaient être effectives, proportionnées et dissuasives.

