Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne (novembre 2025)

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres de ce groupe, qui se fera un plaisir de vous aider.

Canada

Le CPVP participe au ratissage de 2025 pour la protection de la vie privée des enfants du Global Privacy Enforcement Network

Le Commissariat à la protection de la vie privée du Canada (le « CPVP ») se joint à plus de 30 autorités de protection des données et de la vie privée du monde entier afin d'examiner les sites Web et les applications mobiles fréquemment utilisés par les enfants dans le cadre du ratissage pour la protection de la vie privée du Global Privacy Enforcement Network (réseau mondial d'application des lois sur la protection de la vie privée). Les autorités vérifieront si les sites Web et les applications mobiles réputés être utilisés par des enfants ou destinés à ces derniers recueillent des données les concernant, font preuve de transparence quant à leurs pratiques en matière de protection de la vie privée, ont mis en place des mécanismes de contrôle de l'âge et utilisent des mesures de protection de la vie privée pour limiter la collecte de renseignements personnels d'enfants.

Les résultats du ratissage seront compilés et publiés dans un rapport au cours des prochains mois.

Le bureau du Commissaire à l'information et à la protection de la vie privée de l'Ontario met à jour son guide d'évaluation de l'impact sur la vie privée

La Commissaire à l'information et à la protection de la vie privée de l'Ontario (le « CIPVP ») a mis à jour son guide d'évaluation de l'impact sur la vie privée (l'« EIVP ») pour aider les institutions du secteur public à se conformer aux nouvelles obligations prévues par la Loi sur l'accès à l'information et la protection de la vie privée de l'Ontario. Depuis le 1er juillet 2025, les institutions sont tenues de rédiger une EIVP avant de recueillir des renseignements personnels afin d'évaluer les risques en matière de confidentialité et de sécurité et de définir les mesures de prévention et d'atténuation, sauf si une exception réglementaire s'applique. Le guide d'EIVP mis à jour fournit aux institutions des instructions détaillées sur la manière de mener une EIVP du début à la fin.

Nouvelles lignes directrices sur la dépersonnalisation en Ontario

Le CIPVP a mis à jour ses lignes directrices sur la dépersonnalisation des données structurées pour aider les organisations à innover et à profiter au maximum des avantages des données tout en assurant la protection de la vie privée. Les lignes directrices mises à jour proposent des outils pratiques, comme des processus détaillés et des listes de vérification, des études de cas et un glossaire. Les nouvelles lignes directrices visent plus précisément à répondre aux tendances et aux préoccupations croissantes, telles que l'interopérabilité.

Le consortium national pour la cybersécurité annonce un financement de 20,9 M$ CA pour des projets liés à la cybersécurité et à la protection de la vie privée

Le 22 octobre, le Consortium national pour la cybersécurité (le « CNC ») a annoncé un versement de 20,9 M$ CA à 31 projets canadiens liés à la cybersécurité et à la protection de la vie privée, générant ainsi 40,6 M$ CA d'activité dans l'écosystème. Ces initiatives visent à faire progresser la formation, la commercialisation, la recherche et le développement afin de renforcer la cyberrésilience au Canada.

États-Unis

La Californie adopte la Digital Age Assurance Act pour renforcer la sécurité en ligne des enfants

Le 13 octobre 2025, le gouverneur de la Californie, Gavin Newsom, a signé la Digital Age Assurance Act (AB 1043). La loi introduit de nouvelles exigences de vérification de l'âge pour les fournisseurs de systèmes d'exploitation et les boutiques d'applications, lesquelles entreront en vigueur à compter du 1er janvier 2027. Les entités visées doivent offrir une interface accessible lors de la création d'un compte afin de vérifier la date de naissance ou l'âge de l'utilisateur et de transmettre l'information quant à la catégorie d'âge aux développeurs d'applications via une interface API sécurisée.

La loi vise à réduire les risques liés à la surveillance en ligne et aux contenus inappropriés en transférant la responsabilité de la vérification de l'âge aux systèmes d'exploitation plutôt qu'aux applications individuelles. Une violation intentionnelle peut entraîner une amende pouvant atteindre 7 500 $ par enfant.

Union Européenne

Interaction entre le Règlement sur l'intelligence artificielle et le cadre législatif de l'Union en matière de numérique

Adopté en juin 2024, le Règlement sur l'intelligence artificielle (le « Règlement sur l'IA ») constitue le premier cadre réglementaire complet au monde en matière d'IA. Il est au cœur de l'arsenal législatif numérique de l'Union, aux côtés du Règlement général sur la protection des données (le « RGPD »), du Règlement sur les données, du Règlement sur les services numériques, du Règlement sur les marchés numériques, du Règlement sur la cyberrésilience et de la directive SRI 2. Ensemble, ces actes législatifs visent à promouvoir la sécurité, la confiance et la compétitivité au sein de l'économie numérique européenne. Toutefois, leur interaction soulève des interrogations : leur effet combiné renforce-t-il l'écosystème européen de l'IA ou l'alourdit-il? Le rapport complet du Parlement européen se penche sur l'interaction entre le Règlement sur l'IA et les autres instruments numériques de l'Union, ainsi que sur les effets de leurs obligations cumulées sur l'innovation, la cohérence réglementaire et la compétitivité du marché européen de l'IA. Il marque le début du train de mesures omnibus dans le domaine du numérique (voir ci-dessous).

Vers une simplification du RGPD?

La Commission européenne prépare une nouvelle phase de la gouvernance numérique de l'UE. Connu sous le nom d'omnibus numérique, ce projet vise à simplifier une réglementation excessivement complexe et à renforcer l'harmonisation des principaux textes législatifs et réglementaires adoptés depuis 2020 en matière de données, de cybersécurité et d'intelligence artificielle. En ce qui concerne les témoins (cookies), la Commission européenne a proposé que le traitement des données personnelles – qu'il soit réalisé directement sur les appareils des utilisateurs (comme les téléphones et les ordinateurs) ou à partir des données qui en sont issues – relève exclusivement du RGPD. Cette modification remplacerait le double régime actuel, qui relève à la fois du RGPD et de la directive vie privée et communications électroniques .

Derrière l'objectif technique se cache un enjeu fondamentalement politique : la consolidation de la souveraineté numérique européenne. Au cours des cinq dernières années, l'Union européenne a produit une série de textes législatifs fondamentaux : le Règlement général sur la protection des données pour protéger les données personnelles; le Règlement sur la gouvernance des données et le Règlement sur les données pour réglementer le partage des données; le Règlement sur les marchés numériques et le Règlement sur les services numériques pour réglementer les grandes plateformes; ainsi que le Règlement sur la cyberrésilience et le Règlement sur l'intelligence artificielle, premier cadre mondial en la matière.

Le CEPD adopte son avis concernant l'adéquation pour le Brésil

Lors de sa dernière plénière, le Comité européen de la protection des données (le « CEPD ») a adopté son avis concernant le projet de décision d'adéquation du niveau de protection des données de la Commission européenne pour le Brésil. L'avis, qui a été demandé par la Commission, évalue si le cadre juridique brésilien en matière de protection des données et les règles encadrant l'accès des autorités publiques aux données personnelles transférées depuis l'Europe offrent des garanties essentiellement équivalentes à celles prévues par le droit de l'Union. Le Comité relève par ailleurs la convergence marquée entre la législation de l'UE et la jurisprudence de la Cour de justice de l'UE (la « CJUE »). Il est également chargé d'évaluer la mise en œuvre effective de ces garanties.

Une fois adoptée, la décision permettra non seulement aux données personnelles de circuler librement entre l'Europe et le Brésil, mais également aux individus de reprendre le contrôle de leurs données.

Interaction entre le Règlement général sur la protection des données et le Règlement sur les marchés numériques

À l'instar des lignes directrices sur l'interaction entre le RGPD et le Règlement sur les services numériques (voir notre  infolettre précédente), la Commission européenne et l'EDPB ont adopté des lignes directrices communes sur l'interaction entre le RGPD et le Règlement sur les marchés numériques.

Ces lignes directrices sur l'interaction entre le Règlement sur les marchés numériques et le RGPD visent à harmoniser leur interprétation et leur application, permettant ainsi la réalisation de leurs objectifs respectifs, conformément à la jurisprudence pertinente de la CJUE. Une interprétation cohérente du Règlement sur les marchés numériques et du RGPD devrait renforcer et optimiser l'atteinte des objectifs respectifs de ces deux cadres dans le respect intégral du droit fondamental à la protection des données consacré par le droit de l'Union.

Prolongation des décisions d'adéquation du Royaume-Uni : l'EDPB adopte des avis

L'EDPB a adopté deux avis concernant les projets de décision de la Commission européenne visant à prolonger jusqu'en décembre 2031* la validité des décisions d'adéquation du Royaume-Uni en vertu du RGPD et de la directive « Police-Justice ».

Les avis, qui ont été demandés par la Commission en vertu des art. 70(1)(s) du RGPD et l'art. 51(1)(g) de la directive « Police-Justice », portent sur la prolongation de six ans des décisions d'adéquation du Royaume-Uni, dont la date d'expiration est prévue en décembre 2025.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.