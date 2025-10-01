Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous...

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres de ce groupe, qui se fera un plaisir de vous aider.

Canada

La commissaire à la protection de la vie privée de l'Ontario impose les toutes premières pénalités administratives pécuniaires au Canada

La commissaire à la protection de la vie privée de l'Ontario a imposé (en anglais seulement) les premières pénalités administratives pécuniaires sous le régime de la loi provinciale sur la protection des renseignements personnels sur la santé (la « LPPS »). Il s'agit des premières pénalités de ce genre infligées par un commissaire à la protection de la vie privée au Canada. Dans la décision (PHIPA Decision 298), la commissaire a imposé une pénalité de 5 000 $ à un médecin qui avait accédé de façon inappropriée à des dossiers médicaux de patients par l'entremise d'un système électronique de partage des dossiers d'hôpitaux. Le médecin avait utilisé ces renseignements pour identifier les nouveau-nés de sexe masculin et solliciter leurs parents afin de leur proposer des services de circoncision. La commissaire a également infligé une pénalité de 7 500 $ à la clinique privée du médecin pour ne pas avoir respecté ses obligations fondamentales en vertu de la LPRPS. L'enquête a été déclenchée par un rapport d'atteinte à la vie privée déposé par les hôpitaux. La commissaire a formulé un certain nombre de recommandations et a rappelé l'importance d'avoir en place de solides pratiques de protection de la vie privée et de gestion de l'information.

La commissaire à la protection de la vie privée de l'Ontario produit un rapport de plainte contre une université pour son utilisation d'une technologie de détection faciale

Dans le rapport de plainte PX24-00001 (en anglais seulement), la commissaire à la protection de la vie privée de l'Ontario a conclu qu'une université n'avait pas respecté la loi provinciale sur la protection des renseignements personnels dans le secteur public (la « LAIPVP ») en installant des machines distributrices « intelligentes » qui utilisaient une technologie de détection faciale à l'aide d'une caméra sans aviser les utilisateurs ni obtenir leur consentement. Bien que l'université ait mis en place certaines mesures de protection contractuelles avec le fournisseur de la technologie, elle ne savait pas que cette technologie recueillait des renseignements personnels. Si elle ne le savait pas, c'est principalement en raison de lacunes dans le processus d'approvisionnement. Par exemple, l'université n'avait pas réalisé une évaluation des facteurs relatifs à la vie privée ni demandé aux fournisseurs de le faire.

La commissaire a recommandé que l'université examine ses politiques de protection de la vie privée pour veiller à la conformité à la LAIPVP de toute collecte future de renseignements personnels et prenne les mesures adéquates dans son processus d'approvisionnement pour évaluer les tiers fournisseurs de services et toute nouvelle technologie qui pourrait être utilisée.

Le commissaire fédéral à la protection de la vie privée publie des documents d'orientation sur le traitement des renseignements biométriques

Le 11 août 2025, le Commissariat à la protection de la vie privée du Canada a publié des documents d'orientation sur le traitement des renseignements biométriques à l'intention des entreprises du secteur privé et des institutions fédérales. Le document destiné aux entreprises est structuré autour des principes clés énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (p. ex., déterminer les fins acceptables, obtenir le consentement et limiter la collecte, l'utilisation, la communication et la conservation) et décrit, pour chaque principe, ce que les entreprises doivent et devraient faire en ce qui concerne leur traitement des renseignements biométriques. Le document d'orientation à l'intention des institutions fédérales est organisé de façon similaire, mais selon les principes clés énoncés dans la Loi sur la protection des renseignements personnels.

Dans les deux documents, on fournit des définitions techniques liées à la technologie biométrique et aux cas d'utilisation courants (p. ex., la biométrie physiologique et la biométrie comportementale, qui peuvent être utilisées à des fins de vérification, d'identification ou de classification). Les entreprises et les institutions qui traitent des renseignements biométriques doivent savoir qu'il s'agit de renseignements sensibles lorsqu'ils permettent d'identifier précisément une personne, lorsqu'une mauvaise utilisation de ces renseignements pourrait poser un risque élevé de préjudice pour une personne ou lorsqu'ils pourraient révéler d'autres renseignements sensibles (p. ex., des renseignements médicaux). Les renseignements biométriques sensibles conservent leur caractère sensible quel que soit le contexte, car ils restent inchangés au fil du temps, sont difficiles à modifier et sont intimement liés à l'identité d'une personne.

Europe

Le tribunal de l'UE rejette un recours visant l'annulation du nouveau cadre de transfert de données à caractère personnel entre l'Union européenne et les États-Unis

Cette décision confirme que, à la date d'adoption de la décision attaquée, les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l'UE vers des organisations américaines pour les raisons suivantes :

La Data Protection Review Court (la « DPRC ») est impartiale et indépendante : la nomination des juges à ce tribunal et son fonctionnement sont assortis par plusieurs garanties visant à assurer l'indépendance de ses membres. De plus, d'une part, les juges de la DPRC ne peuvent être révoqués que par le procureur général et uniquement pour un motif valable et, d'autre part, le procureur général et les agences de renseignement ne peuvent pas entraver ou indûment influencer leur travail.

On ne peut pas considérer que la collecte massive de données à caractère personnel effectuée par les agences de renseignement américaines ne satisfait pas aux exigences découlant de l'arrêt Schrems II ou qu'elle n'assure pas une protection juridique substantiellement équivalente à celle qui est garantie par le droit de l'UE.

La Cour de justice précise la portée de la notion de données à caractère personnel dans le cadre de la transmission de données pseudonymisées à des tiers

Dans sa décision du 4 septembre 2025 (C-413/23 P), la Cour de justice de l'UE estime que les données pseudonymisées ne doivent pas être considérées comme des données à caractère personnel dans toutes circonstances et pour toute personne, dans la mesure où la pseudonymisation peut, selon les circonstances de l'espèce, empêcher effectivement des personnes autres que le responsable du traitement d'identifier la personne concernée de telle manière que, pour elles, celle-ci n'est pas ou n'est plus identifiable.

D'abord, la Cour note que la pseudonymisation n'est pas un élément de la définition des « données à caractère personnel », mais fait référence à la mise en œuvre de mesures techniques et organisationnelles visant à réduire le risque de mise en corrélation d'un ensemble de données avec l'identité des personnes concernées.

Elle souligne ensuite que l'un des principaux objectifs de la pseudonymisation est d'empêcher l'identification de la personne concernée au moyen des seules données pseudonymisées. En effet, pour autant que les mesures techniques et organisationnelles requises pour la pseudonymisation soient effectivement mises en place et qu'elles soient de nature à prévenir une attribution des données en cause à la personne concernée, de telle manière que celle-ci n'est pas ou n'est plus identifiable, la pseudonymisation peut avoir une incidence sur le caractère personnel de ces données. À cet égard, la Cour précise que le responsable du traitement qui a procédé à la pseudonymisation dispose, en l'espèce, des informations supplémentaires permettant d'attribuer les commentaires transmis au sous-traitant à la personne concernée. Autrement dit, pour le responsable du traitement, ces renseignements demeurent des renseignements à caractère personnel. En revanche, en ce qui concerne le sous-traitant, les mesures techniques et organisationnelles peuvent avoir pour effet que ces renseignements ne présentent pas un caractère personnel si le sous-traitant n'est pas en mesure de réidentifier la personne concernée.

Projet de décision d'adéquation pour le Brésil

Le 5 septembre 2025, la Commission a déterminé que le Brésil assure un niveau adéquat de protection des données, comparable à celui de l'UE.

Une fois adoptée, la décision (en anglais seulement) permettra la libre circulation des données entre l'UE et le Brésil pour les entreprises, les autorités publiques et les projets de recherche, sans qu'il soit nécessaire de procéder à une évaluation des risques de transfert ou encore de convenir de clauses contractuelles types. Les autorités brésiliennes ont entamé un processus visant à adopter une décision équivalente afin de permettre aux données brésiliennes de circuler librement vers l'UE.

Lignes directrices 3/2025 sur l'interaction entre le Règlement sur les services numériques et le RGPD

Lors de sa réunion plénière de septembre, le Comité européen de la protection des données (l'« EDPB ») a adopté des lignes directrices sur l'interaction entre le Règlement sur les services numériques et le Règlement général sur la protection des données (le « RGPD ») (en anglais seulement). Le Règlement sur les services numériques vise à compléter les règles du RGPD afin d'assurer le plus haut niveau de protection des droits fondamentaux dans l'espace numérique. Son principal objectif est de créer un environnement en ligne plus sûr où les droits fondamentaux de tous les utilisateurs, y compris les mineurs, sont protégés. Il s'applique à tous les services intermédiaires en ligne, dont les très grandes plateformes en ligne et les très gros moteurs de recherche en ligne. Plusieurs dispositions du règlement encadrent le traitement de données à caractère personnel par des fournisseurs de services intermédiaires et un certain nombre de dispositions sont liées au GDPR, comme les règles relatives au « profilage » et aux « catégories particulières de données à caractère personnel ».

Ces lignes directrices de l'EDPB aident à comprendre comment le RGPD doit être appliqué dans le contexte des obligations émanant du Règlement sur les services numériques.

Elles feront l'objet d'une consultation publique, ce qui donnera aux parties prenantes l'occasion de formuler des commentaires.

La commission européenne publie une faq sur le règlement sur les données

La foire aux questions (FAQ) (en anglais seulement) sur le Règlement sur les données a été préparée pour aider les organisations à mettre en œuvre ce règlement, qui établit un ensemble de règles horizontales sur l'accès aux données et leur utilisation. Ces règles respectent la protection des droits fondamentaux et apportent des avantages considérables à l'économie et à la société européennes. Le règlement accroît la disponibilité des données, en particulier les données industrielles, et encourage l'innovation axée sur les données tout en assurant l'équité dans l'attribution de valeur parmi les acteurs de l'économie fondée sur les données.

États-Unis

La Californie présente un projet de loi visant à réglementer les robots conversationnels agissant comme un compagnon

Avec l'appui des deux partis, l'assemblée législative de la Californie a approuvé un projet de loi qui imposerait de nouvelles mesures de protection aux robots conversationnels alimentés par l'intelligence artificielle afin de mieux protéger les enfants et d'autres utilisateurs vulnérables. Le projet de loi 243 du sénat (en anglais seulement) a été adopté par l'assemblée et le sénat de l'État et est maintenant sur le bureau du gouverneur de la Californie.

Le projet de loi exigerait que les sociétés qui exploitent des robots conversationnels commercialisés comme des « compagnons » – des systèmes d'IA qui offrent des réponses adaptatives semblables à celles d'un humain et qui sont capables de répondre aux besoins sociaux d'un utilisateur – évitent d'exposer les mineurs à du contenu relayant des idées suicidaires, à du contenu portant sur l'automutilation ou à du contenu à caractère sexuel ou sexuellement explicite. Les plateformes seraient aussi tenues de configurer des alertes récurrentes pour rappeler aux utilisateurs qu'ils parlent à un robot conversationnel alimenté par l'IA et non à une vraie personne et qu'ils devraient prendre des pauses. En outre, le projet de loi établirait aussi des exigences en matière de production de rapports annuels et de transparence et permettrait aux particuliers de poursuivre les sociétés d'IA pour des violations présumées (jusqu'à 1 000 $ en dommages-intérêts par violation) et de demander des injonctions de même que le remboursement des honoraires d'avocat.

S'il est adopté, le projet de loi ferait de la Californie le premier État à exiger que les exploitants de robots conversationnels d'IA suivent des protocoles de sécurité et à tenir les sociétés légalement responsables de leur non-conformité. Les exigences de base entreraient en vigueur le 1ᵉʳ janvier 2026 et les obligations de déclaration supplémentaires, le 1ᵉʳ juillet 2027.

La FTC lance une enquête sur les robots conversationnels qui agissent comme des compagnons

La Federal Trade Commission a émis des ordonnances (en anglais seulement) à l'intention de sept sociétés qui exploitent des robots conversationnels d'IA destinés aux consommateurs pour obtenir de l'information sur la façon dont elles mesurent, évaluent et surveillent les effets potentiellement négatifs de cette technologie sur les enfants et les adolescents.

L'enquête de la FTC cherche à comprendre quelles mesures, le cas échéant, les sociétés ont prises pour évaluer la sécurité de leur robot conversationnel agissant comme un compagnon, pour limiter l'utilisation de ces produits par les enfants et les adolescents et leurs effets négatifs potentiels, et pour informer les utilisateurs et les parents des risques associés à ces produits.

