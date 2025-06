Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne...

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Canada

LA COUR DU BANC DU ROI DE L'ALBERTA JUGE INCONSTITUTIONNELLES CERTAINES PARTIES DE LA PERSONAL INFORMATION PROTECTION ACT DE L'ALBERTA

La Cour du Banc du Roi de l'Alberta (la « Cour ») a récemment publié son jugement (en anglais) concernant le contrôle judiciaire d'une décision du commissaire à l'information et à la protection de la vie privée de l'Alberta selon laquelle les pratiques de moissonnage de données de Clearview étaient contraires à la Personal Information Protection Act (la « PIPA ») de l'Alberta. Bien que Clearview soit assujettie à la PIPA, la Cour a déterminé que certains articles de la loi et de son règlement limitaient les droits prévus par la Charte en ce qui concerne l'utilisation de publications et d'images en ligne. Par conséquent, la Cour a invalidé le libellé du règlement de la PIPA portant sur les publications relatives à l'information accessible au public, comme les magazines, les livres et les journaux. La Cour a conclu que la simple mention du terme « publication » – en ce qui concerne l'information accessible au public – englobe désormais les renseignements personnels qu'une personne choisit de rendre publics. Suivant cette décision, les organisations peuvent recueillir, utiliser et communiquer des renseignements personnels rendus publics sur le Web sans avoir à obtenir le consentement des personnes concernées, ce qui a pour effet d'élargir la portée des renseignements accessibles au public qui sont exemptés des exigences de consentement de la PIPA par rapport à ce que le commissaire à la protection de la vie privée avait précédemment autorisé en vertu de la loi. Cela dit, une telle utilisation de renseignements personnels doit être justifiée. Dans le cas de Clearview, la Cour a confirmé la décision du commissaire selon laquelle les fins de l'organisation étaient déraisonnables et contrevenaient à la PIPA.

LE COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DE LA COLOMBIE-BRITANNIQUE PUBLIE DES LIGNES DIRECTRICES SUR LES DEMANDES DE DOSSIERS DE PERSONNES DÉCÉDÉES

Au début du mois de mai 2025, le commissaire à la protection de la vie privée de la Colombie-Britannique a publié de nouvelles lignes directrices (en anglais) sur la procédure à suivre pour demander l'accès à des dossiers de personnes décédées contenant des renseignements personnels. Ces lignes directrices visent les demandes déposées en vertu de la Freedom of Information and Protection of Privacy Act de la Colombie-Britannique, qui s'applique aux entités du secteur public.

LE COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DE LA COLOMBIE-BRITANNIQUE ENQUÊTE SUR L'UTILISATION DE CAMÉRAS À HAUTE RÉSOLUTION PAR LA VILLE

Le 7 mai 2025, le commissaire à la protection de la vie privée de la Colombie-Britannique a annoncé (en anglais) qu'il y avait une enquête en cours concernant le projet pilote de la ville de Richmond visant à installer des caméras à haute résolution à certains carrefours de la ville. Le commissaire examinera le projet afin de s'assurer que la collecte, l'utilisation et la communication de renseignements personnels par la ville – relativement à l'utilisation de ces caméras – respectent la Freedom of Information and Protection of Privacy Act.

LE COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DU CANADA LANCE UNE CONSULTATION CONCERNANT UN CODE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DES ENFANTS

Le 12 mai 2025, le commissaire à la protection de la vie privée du Canada a lancé une consultation exploratoire sur l'élaboration d'un code sur la protection des renseignements personnels des enfants au Canada. La période de consultation est ouverte à toute personne jusqu'au 5 août 2025. Le commissaire à la protection de la vie privée invite tous les groupes de défense des droits de l'enfant, les entreprises, les éducateurs et toute autre partie intéressée à faire part de leurs réflexions pendant la période de consultation afin de contribuer à l'élaboration de ce nouveau code.

Europe

INTENTION DE SIMPLIFIER LE RGPD

Le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) ont approuvé une lettre conjointe (en anglais) destinée à la Commission européenne concernant la proposition à venir sur la simplification des obligations en matière de tenue des dossiers prévues par le RGPD. À ce stade, l'EDPB et le CEPD ont indiqué pouvoir manifester leur soutien préliminaire à cette initiative de simplification ciblée, considérant que les responsables du traitement et les sous-traitants continuent de s'acquitter de toutes les autres obligations du RGPD.

Cela dit, l'EDPB et le CEPD ont demandé à la Commission de réaliser une évaluation plus approfondie de l'incidence de cette initiative sur les organisations visées, et de déterminer si la version préliminaire de la proposition assure un bon équilibre entre la protection des renseignements personnels et les intérêts des organisations de moins de 500 employés.

LIGNES DIRECTRICES SUR LE TRAITEMENT DES DONNÉES PERSONNELLES AU MOYEN DE CHAÎNES DE BLOCS

Le Comité européen de la protection des données (EDPB) a adopté des lignes directrices (en anglais) sur le traitement de données personnelles au moyen de la technologie de la chaîne de blocs (blockchain). En termes simples, une chaîne de blocs est un système de registre de transactions numériques qui permet de confirmer l'authenticité des transactions et d'identifier le propriétaire d'un actif numérique (comme la cryptomonnaie) à un moment précis. Les chaînes de blocs favorisent le traitement et le transfert sécurisés des données en assurant leur intégrité et leur traçabilité.

Dans ses lignes directrices, l'EDPB explique comment fonctionnent les chaînes de blocs et évalue les différentes architectures possibles ainsi que leur incidence sur le traitement des données personnelles. Les lignes directrices soulignent l'importance d'appliquer des mesures techniques et organisationnelles dès les premières étapes de la mise au point des méthodes de traitement. L'EDPB précise également que, dès la phase de conception, il faut évaluer les rôles, les responsabilités et les obligations des différents intervenants dans le traitement des données personnelles.

Les lignes directrices feront l'objet d'une consultation publique qui se terminera le 9 juin 2025.

États-Unis

LA FEDERAL TRADE COMMISSION MODIFIE LA RÉGLEMENTATION EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE DES ENFANTS

Le 22 avril 2025, la Federal Trade Commission des États-Unis a publié (en anglais) les modifications finales qui seront apportées au règlement américain intitulé Children's Online Privacy Protection Rule. Les modifications entreront en vigueur le ou vers le 21 juin 2025, et les organisations devront s'y conformer d'ici le 22 avril 2026. Les organisations qui traitent les données personnelles des enfants aux États-Unis doivent se familiariser avec la dernière version du règlement et s'assurer de prendre les mesures nécessaires pour s'y conformer dans les délais impartis.

ADOPTION DE LA « TAKE IT DOWN ACT »

En avril 2025, la Chambre des représentants des États-Unis a adopté la loi américaine fédérale bipartite intitulée Take It Down Act (la « Loi ») (en anglais). Cette Loi, entre autres, criminalise la publication en ligne d'images intimes sans consentement et oblige les médias sociaux et tout site Web similaire à retirer un tel contenu dans les 48 heures suivant la réception de l'avis donné par la victime. La loi criminalise également la publication d'images générées par l'IA, comme l'hypertrucage (deepfakes). Il s'agit de la première loi fédérale américaine à criminaliser cet enjeu.

LA CALIFORNIA PRIVACY PROTECTION AGENCY DEMANDE À UN DÉTAILLANT DE VÊTEMENTS DE PAYER UNE AMENDE EN RAISON DE SES PRATIQUES EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE

En mai 2025, la California Privacy Protection Agency (la « CPPA ») (en anglais) a conclu son enquête sur les pratiques en matière de protection de la vie privée d'un détaillant national de vêtements. La CPPA a rendu une décision obligeant le détaillant à revoir ses pratiques en matière de protection de la vie privée et à payer une amende de 345 178 $ US pour avoir enfreint la California Consumer Privacy Act (la « CCPA »). La CPPA a conclu que le détaillant ne traitait pas les demandes de désistement des consommateurs, recueillait une quantité excessive de renseignements personnels et se livrait à des pratiques de vérification de l'identité injustifiées. Cette décision fait suite à l'avertissement que la CPPA a lancé aux entreprises en 2024 pour qu'elles se conforment à la CCPA, sous peine de se voir imposer des amendes substantielles. Toute entreprise qui mène des activités en Californie doit s'assurer de respecter les lois applicables en matière de protection de la vie privée.

