Bulletin Protection des renseignements personnels, vie privée et cybersécurité
Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements personnels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les changements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres du groupe Protection des renseignements personnels, vie privée et cybersécurité, qui se fera un plaisir de vous aider.
Canada
Le Commissaire à l'information et à la protection de la vie privée de l'Ontario publie un manuel à l'intention des petits organismes de soins de santé
Le Commissaire à l'information et à la protection de la vie privée de l'Ontario (le « CIPVP ») a récemment publié un guide de gestion de la protection de la vie privée à l'intention des petits organismes de soins de santé, qui fournit des ressources et des conseils aux dépositaires de renseignements sur la santé pour l'élaboration et la mise en œuvre de programmes de gestion de la protection de la vie privée qui sont conformes à la Loi de 2004 sur la protection des renseignements personnels sur la santé (la « LPRPS ») de l'Ontario. Le guide s'adresse aux praticiens exerçant à titre individuel, aux petites cliniques et aux exploitants de petits établissements de santé. Il contient des conseils pratiques sur les politiques, les procédures et les contrôles en matière de protection de la vie privée, ainsi que des liens vers d'autres ressources du CIPVP.
Le projet de loi fédéral c-2 a été déposé au Parlement
Un certain nombre de projets de loi fédéraux ont été déposés au Parlement en juin 2025, y compris le projet de loi C-2, qui touche la protection des renseignements personnels des individus au Canada. Le projet de loi C-2 s'intitule « Loi concernant certaines mesures liées à la sécurité de la frontière entre le Canada et les États-Unis et d'autres mesures connexes liées à la sécurité ». Le projet de loi C-2 propose de nouvelles mesures visant à faire en sorte que le Canada maintienne une « sécurité rigoureuse à la frontière », et comprend notamment certaines dispositions qui accordent aux organismes chargés de l'application de la loi des pouvoirs plus étendus en matière d'« accès légal » aux renseignements, aux appareils et aux biens des individus.
La Commission d'accès à l'information du Québec va cesser la diffusion de la liste des organisations touchées par des incidents de confidentialité
Le 27 mai 2025, la Commission d'accès à l'information du Québec a annoncé qu'elle cesserait la diffusion de la liste des organisations qui déclarent des incidents de confidentialité. Depuis la mise en place du régime de déclaration obligatoire des incidents de la province, la Commission a adopté diverses approches, allant de la communication de la liste des organisations aux journalistes qui présentent des demandes d'accès à l'information à, plus récemment, la diffusion d'une liste trimestrielle comprenant les noms des organisations et les dates des déclarations. La plus récente mesure prise par la Commission s'aligne sur celles prises par d'autres commissariats au Canada. Le commissariat fédéral est tenu à la confidentialité en vertu de la LPRPDE, alors que le commissariat de l'Alberta a cessé sa pratique de longue date consistant à rendre des décisions publiques d'avis d'incidents de confidentialité lorsque l'organisation s'est par ailleurs conformée à la Personal Information protection Act de l'Alberta.
Le Commissariat de l'Alberta publie un rapport sur le traitement des demandes d'accès à l'information
Le 8 mai 2025, le Commissariat à l'information et à la protection de la vie privée de l'Alberta a publié un rapport (en anglais seulement) sur son enquête concernant les pratiques des entités gouvernementales en ce qui a trait au traitement des demandes d'accès à l'information en vertu de la Freedom of Information and Protection of Privacy Act (la « Loi FOIP ») de l'Alberta et aux réponses données à celles-ci. Le rapport a révélé que les pratiques et interprétations de nombreux organismes publics n'étaient pas conformes à la Loi FOIP, notamment le fait d'exiger des demandeurs qu'ils se limitent à un seul sujet dans une demande d'accès, et le fait d'imposer des limites quant au délai de recherche de documents. Tout organisme public en Alberta devrait examiner le rapport pour déterminer s'il se conforme à la Loi FOIP.
Le Commissariat de l'Alberta publie un avis sur les changements apportés aux processus d'examen en vertu de l'Access to Information Act
Le 4 juin 2025, le Commissariat à l'information et à la protection de la vie privée de l'Alberta a publié un avis (en anglais seulement) énonçant les changements qui seront apportés aux processus à la mi-juin après le remplacement de la Freedom of Information and Protection of Privacy Act de l'Alberta par l'Access to Information Act et la Protection of Privacy Act. L'avis porte sur les changements qui seront mis en œuvre par le Commissariat à l'information et à la protection de la vie privée concernant ses processus d'examen des règlements et des demandes. Le commissariat a également publié plusieurs notes de pratique pour aider les entités publiques et les demandeurs à composer avec ces processus modifiés.
Le Commissaire fédéral à la protection de la vie privée dépose son rapport annuel au Parlement
Le 5 juin 2025, le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a déposé un rapport annuel au Parlement, lequel rapport soulignait les progrès réalisés à l'égard des priorités stratégiques du Commissariat visant à faire de la protection de la vie privée un droit fondamental. Le rapport examine les tendances importantes en matière de protection de la vie privée, comme l'adoption croissante de l'intelligence artificielle, les risques de préjudice liés aux atteintes à la sécurité des données et l'importance de protéger les jeunes en ligne. Le rapport présente également les priorités du Commissaire pour l'année à venir.
Le Commissariat à la protection de la vie privée du Canada publie des rapports d'enquête sur un certain nombre d'organismes publics en vertu de la loi sur la protection des renseignements personnels
Le 5 juin 2025, le Commissariat à la protection de la vie privée du Canada a publié ses conclusions sur six enquêtes différentes portant sur les actions de certaines institutions fédérales en vertu de la Loi sur la protection des renseignements personnels fédérale. Les enquêtes portaient notamment sur les points suivants : (i) le refus du ministère de la Défense nationale de communiquer les renseignements personnels d'une personne décédée; (ii) la perte, par la Gendarmerie royale du Canada, d'un dispositif de stockage USB non chiffré; (iii) la communication par l'ARC du nom d'un enfant adopté à sa mère biologique; (iv) l'application de l'alinéa 22(1)b) par l'Agence du revenu du Canada pour refuser l'accès à des renseignements personnels; (v) le refus d'accès aux renseignements personnels d'un enfant par Immigration, Réfugiés et Citoyenneté Canada; et (vi) la question de savoir si les mesures d'anonymisation d‘enregistrements polygraphiques sensibles ont atténué les répercussions sur la vie privée découlant de l'examen de l'OSSNR.
Europe
Le Comité Européen de la protection des données (EDPB) publie la version définitive des lignes directrices sur les transferts de données aux autorités de pays tiers
L'EDPB a adopté la version définitive des lignes directrices (en anglais seulement) sur les transferts de données aux autorités de pays tiers. Dans ses lignes directrices, l'EDPB se penche sur l'article 48 du RGPD et précise comment les organisations peuvent évaluer au mieux les conditions dans lesquelles elles peuvent légalement répondre aux demandes de transfert de données à caractère personnel émanant d'autorités de pays tiers (c'est-à-dire d'autorités de pays non européens).
L'EDPB explique que les jugements ou décisions émanant d'autorités de pays tiers ne peuvent pas être automatiquement reconnus ou appliqués en Europe. En règle générale, un accord international peut prévoir à la fois un fondement juridique et un motif de transfert. En l'absence d'accord international, ou si l'accord ne prévoit pas de fondement juridique ou de mesures de protection appropriés, d'autres fondements juridiques ou d'autres motifs de transfert pourraient être envisagés dans des circonstances exceptionnelles et au cas par cas.
États-Unis
Le Président Trump publie un décret sur la cybersécurité
Le 6 juin 2025, le président Trump a publié un décret (en anglais seulement) intitulé « Sustaining Select Efforts to Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144 ». Ce décret modifie de façon générale des décrets antérieurs publiés par les administrations Biden et Obama, (i) en ordonnant que la réglementation et la politique actuelles du gouvernement fédéral mettent l'accent sur la protection des chaînes d'approvisionnement en logiciels de tiers, la cryptographie quantique, l'intelligence artificielle et les appareils de l'Internet des objets et (ii) en mettant l'accent sur les pouvoirs d'imposition de sanctions liées à la cybersécurité à des personnes « étrangères ».
Le gouverneur du New Jersey propose de nouvelles règles en vertu de la New Jersey Data Privacy Act
Le 2 juin 2025, le gouverneur du New Jersey a proposé (en anglais seulement) de nouvelles règles en vertu de la loi sur la protection des données du New Jersey (New Jersey Data Privacy Act) afin d'élargir les obligations des entreprises en activité dans le New Jersey qui traitent des renseignements personnels et de fournir des directives. Les règles suivent de manière générale un modèle semblable à celui d'autres lois étatiques américaines, comme la CCPA. Toutefois, les règles mettent davantage l'accent sur l'intelligence artificielle que d'autres lois étatiques. Les règles obligent les organisations à obtenir le consentement des personnes pour utiliser leurs données à des fins d'entraînement de l'IA, et les obligent à fournir des informations et des avis supplémentaires concernant l'utilisation de l'IA.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
