Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres de ce groupe, qui se fera un plaisir de vous aider.

Canada

La CIPVP publie des lignes directrices mises à jour sur la dépersonnalisation des données structurées

La Commissaire à l'information et à la protection de la vie privée de l'Ontario a mis à jour et étoffé ses lignes directrices sur la dépersonnalisation des données structurées. Ces lignes directrices reconnues dans le monde entier, dont la première édition remonte à 2016, proposent aux organisations des mesures pratiques à prendre pour profiter au maximum des avantages des données tout en assurant la protection de la vie privée. Elles proposent des outils pratiques, des processus étape par étape et des listes de vérification pour aider les organisations à dépersonnaliser et à utiliser les données de façon responsable. Il est aussi question de la réduction des risques de réidentification et de l'équilibre à trouver entre la protection de la vie privée et les avantages du partage des données pour la recherche et l'innovation.

Le Commissaire fédéral à la protection de la vie privée sollicite à nouveau une réforme législative

Le 6 octobre 2025, le Commissaire à la protection de la vie privée du Canada a demandé la modernisation des lois fédérales sur la protection de la vie privée lors d'une comparution devant le comité ETHI de la Chambre des communes. Ses observations ont souligné la nécessité d'un cadre réglementaire qui appuie l'innovation tout en renforçant les mesures de protection de la vie privée, ce qui témoigne de l'élan continu vers une réforme législative.

Le projet de loi C-8 va de l'avant pour renforcer la cybersécurité des infrastructures essentielles

Le 3 octobre 2025, le projet de loi C-8 est passé à l'étape de l'étude en comité à la Chambre des communes. Il propose des obligations en matière de cybersécurité aux exploitants d'infrastructures essentielles et élargit les pouvoirs du gouvernement afin de répondre aux risques pour la sécurité nationale dans le secteur des télécommunications (voir le bulletin d'octobre 2025 de Fasken). S'il est adopté, le projet de loi créera de nouvelles exigences de conformité et des sanctions importantes au moyen de la Loi sur la protection des cybersystèmes essentiels proposée.

Le Commissaire à la protection de la vie privée soutient le projet de loi sur le contrôle de l'âge pour certains contenus en ligne

Le 2 octobre 2025, le Commissaire à la protection de la vie privée du Canada a exprimé son appui au projet de loi S-209 lors d'une comparution devant le Comité sénatorial des affaires juridiques et constitutionnelles. Avec ce projet de loi, intitulé Loi sur la protection des jeunes contre l'exposition à la pornographie, rendre accessible en ligne du matériel pornographique à des personnes de moins de 18 ans constituerait une infraction. Des mécanismes de contrôle de l'âge qui protègent la vie privée seraient aussi obligatoires. Le Commissaire a insisté sur l'importance de protéger la vie privée des jeunes tout en permettant une réglementation numérique responsable, conformément à sa priorité générale de renforcement des droits à la vie privée des enfants.

La Nouvelle-Écosse remplacera ses lois sur l'accès à l'information et la protection des renseignements personnels dans le secteur public

Le gouvernement de la Nouvelle-Écosse a proposé un projet de loi (en anglais seulement) afin de mettre à jour ses lois sur l'accès à l'information et la protection des renseignements personnels, qui n'ont pas été revues depuis 25 ans. La nouvelle Freedom of Information and Protection of Privacy Act regroupera les lois pertinentes en un seul cadre, qui entrera en vigueur le 1ᵉʳ avril 2027.

Le projet de loi prévoit (en anglais seulement) plusieurs changements :

Le Commissaire à l'information et à la protection de la vie privée deviendra un haut fonctionnaire de l'assemblée législative, ce qui accroîtra son indépendance.

Les municipalités et les villages auront désormais des responsabilités de protection des renseignements personnels.

L'avis en cas d'atteinte sera exigé si un incident de confidentialité présente un risque important de préjudice pour les particuliers.

Les amendes pour les infractions à la loi seront augmentées.

Le rapport annuel pour 2024-2025 de la CAI du Québec a été publié

Le rapport annuel d'activités et de gestion 2024-2025 de la Commission a été déposé récemment à l'Assemblée nationale. En voici les grandes lignes, y compris les initiatives en cours visant à optimiser les services de la Commission :

Un seul formulaire : À compter de l'automne 2025, les usagers auront un point d'accès central pour plusieurs formulaires à partir de la page d'accueil du site Web de la Commission. Le formulaire unique leur permettra de mieux identifier leurs besoins et simplifiera le processus d'introduction des recours auprès de la Commission.

Un projet pilote de gestion hâtive des dossiers au sein de la section juridictionnelle est en cours et sera également présenté à l'automne 2025.

Une révision des procédures de traitement des plaintes.

International

Des autorités de protection de la vie privée de partout dans le monde signent une déclaration commune sur la mise en place d'un cadre de gouvernance des données pour une IA fiable

À la suite de l'Assemblée mondiale de la protection de la vie privée (du 15 au 19 septembre 2025), 20 autorités de protection des données, dont le Commissariat à la protection de la vie privée du Canada (le « CPVP »), ont signé la « Déclaration commune sur la mise en place de cadres de gouvernance des données fiables pour favoriser une intelligence artificielle innovante et protectrice de la vie privée ». Celle-ci met l'accent sur le rôle des autorités de protection des données dans l'élaboration de la gouvernance des données pour relever les défis soulevés par l'IA et énumère plusieurs engagements, comme la clarification des bases légales pour le traitement des données dans l'IA, le partage des informations et l'établissement de mesures de sécurité adaptées. Elle met au clair l'intention de ces autorités, dont le CPVP, de jouer un plus grand rôle dans l'élaboration de règlements sur l'IA.

Mois de la sensibilisation à la cybersécurité

Octobre est le Mois de la sensibilisation à la cybersécurité, un appel mondial au renforcement de la résilience numérique. Compte tenu de l'évolution de la réglementation et de l'augmentation des risques liés à l'IA, la cybersécurité est plus cruciale que jamais. Des mises à jour législatives sur la protection des renseignements personnels à l'évolution des menaces, notre équipe Fasken est là pour vous tenir au courant de ce qui se passe et veiller à votre conformité et à votre sécurité.

Europe

La Commission européenne publie un projet de lignes directrices sur le signalement des incidents graves impliquant des systèmes d'IA à haut risque

Avec la publication par la Commission européenne d'un projet de lignes directrices (en anglais seulement) sur l'article 73 du Règlement sur l'intelligence artificielle, les fournisseurs de systèmes d'IA à haut risque disposent désormais d'indications plus claires sur la manière de signaler les incidents graves. Le document définit ce qui constitue un incident « grave » – du préjudice causé à des particuliers jusqu'aux perturbations majeures des infrastructures essentielles – et établit des délais de signalement stricts pouvant aller jusqu'à 48 heures. Il clarifie également la façon dont ces obligations interagissent avec les cadres existants, dont ceux du RGPD, de la SRI 2 et du règlement DORA, ce qui constitue une étape importante vers un régime coordonné et transparent de signalement des incidents d'IA dans l'Union européenne.

