Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne (décembre 2025)

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres de ce groupe, qui se fera un plaisir de vous aider.

Canada

Appel aux observations – consultation sur les processus liés aux orientations du CPVP

Le Commissariat à la protection de la vie privée du Canada fournit des orientations pour aider les organisations à respecter leurs obligations prévues par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Ces documents expliquent l'application concrète de la réglementation sur la protection de la vie privée, décrivent les pratiques exemplaires relatives à la protection, identifient les risques éventuels et précisent les attentes de l'organisme de réglementation. Afin que les orientations soient aussi efficaces et conviviales que possible, le Commissariat souhaite recevoir des commentaires sur son processus d'élaboration, notamment sur le format, la présentation et le contenu de ses orientations ainsi que sur son approche pour les consultations.

Le plus récent cycle de financement du programme des contributions du CPVP cible des projets axés sur les jeux vidéo en ligne

Le Commissariat à la protection de la vie privée du Canada a lancé un appel de propositions pour le cycle de financement 2026-2027 de son Programme des contributions sous le thème « Objectif débloqué : protéger la vie privée dans les jeux vidéo en ligne ». Les jeux vidéo font partie intégrante du monde du divertissement au Canada : près de 50 % des adultes et 70 % des adolescents jouent régulièrement à des jeux en ligne. Afin d'en apprendre davantage sur les répercussions des jeux vidéo sur la vie privée des individus, le Commissariat souhaite recevoir des propositions de projets qui permettront d'approfondir les connaissances relatives à la collecte et à l'utilisation des données personnelles dans le domaine des jeux vidéo en ligne.

États-Unis

La CISA lance une nouvelle plateforme pour renforcer la mobilisation et la collaboration du secteur

La Cybersecurity and Infrastructure Security Agency (CISA) a lancé (en anglais seulement) sa plateforme de mobilisation sectorielle (Industry Engagement Platform; IEP), conçue pour rationaliser les communications et la collaboration entre la CISA et les parties prenantes du secteur privé, dont les fournisseurs, les chercheurs et les universités. La plateforme vise à simplifier les processus de mobilisation, à favoriser l'innovation et à améliorer les partenariats pour relever les défis de cybersécurité en constante évolution.

Union Européenne

Les recommandations 2/2025 de l'EDPB sur le fondement juridique sous-jacent à l'obligation de créer un compte utilisateur sur les sites de commerce électronique sont ouvertes à la consultation publique

Les utilisateurs de sites de commerce électronique sont souvent tenus de créer un compte en ligne avant de pouvoir accéder à des offres ou acheter des biens et services. Pour les responsables de traitement dans le secteur du commerce électronique, la création obligatoire d'un compte s'explique souvent par plusieurs raisons : effectuer une vente, permettre l'abonnement à des services, accorder l'accès à des offres exclusives à leurs utilisateurs ou faciliter la gestion opérationnelle des commandes. Bien que ces responsables puissent avoir un intérêt commercial à exiger des utilisateurs qu'ils créent un compte, l'EDPB note que cette pratique peut également exposer les personnes concernées à des risques supplémentaires en ce qui concerne leurs droits et libertés.

Dans ce document (en anglais seulement), l'EDPB fournit des recommandations aux responsables de traitement dans le secteur du commerce électronique quant aux conditions dans lesquelles ils peuvent légalement exiger que leurs utilisateurs créent un compte et illustre ces conditions par des exemples de situations où cette obligation est nécessaire ou, au contraire, injustifiée. Par exemple, il estime que la création obligatoire d'un compte utilisateur en ligne est acceptable seulement pour un ensemble très limité d'objectifs, comme l'offre d'un service d'abonnement ou l'accès à des offres exclusives. Enfin, le comité note que le mode « invité » est, en principe, l'option la plus protectrice de la vie privée pour les achats, conformément à l'obligation de protection des données dès la conception et par défaut.

Le CEPD publie un rapport sur les systèmes d'IA potentiellement à haut risque dans l'administration publique de l'UE

Le CEPD a publié (en anglais seulement) un rapport de cartographie des systèmes d'IA à haut risque, qui offre une vue d'ensemble de la manière dont les institutions de l'UE utilisent actuellement l'IA et identifient les systèmes susceptibles de relever de la catégorie « à haut risque » de l'annexe III du Règlement sur l'intelligence artificielle. Les organes de l'UE ont de plus en plus recours à des outils d'IA, avec une forte présence de l'IA générative et de nombreux autres systèmes en cours de développement. Le CEPD souligne que ces technologies peuvent soulever des préoccupations majeures quant aux droits et libertés des individus, en particulier lorsqu'elles sont utilisées dans des contextes sensibles.

Dans ce rapport, le CEPD fournit des conseils aux institutions de l'UE sur l'évaluation de leurs outils d'IA, la distinction entre les systèmes ordinaires et les systèmes potentiellement à haut risque, et la compréhension de la maturité et des environnements de déploiement des technologies qu'elles utilisent. Le document met en évidence les caractéristiques typiques des systèmes qui relèvent potentiellement de l'annexe III, comme une plus grande proportion de fonctions destinées à l'interne, des techniques d'apprentissage automatique plus traditionnelles et une utilisation limitée du profilage. Enfin, le CEPD souligne que de nombreux outils d'IA utilisés par les organes de l'UE n'en sont qu'à leurs débuts et qu'une cartographie, une documentation et une évaluation des risques minutieuses sont des étapes essentielles pour assurer la conformité au Règlement sur l'intelligence artificielle.

FAQ sur le règlement sur la cyberrésilience

Le règlement (en anglais seulement) (UE) 2024/2847 (Règlement sur la cyberrésilience) établit les règles de mise à disposition sur le marché de produits comportant des éléments numériques pour assurer leur cybersécurité et traite des exigences essentielles de cybersécurité pour la conception, le développement et la production, des processus de gestion des vulnérabilités, des obligations des opérateurs économiques à l'égard de ces produits et des règles sur la surveillance du marché et le contrôle de l'application de la législation. Cette foire aux questions (FAQ) préliminaire, publiée environ deux ans avant l'entrée en vigueur du règlement, réunit des questions techniques et vise à aider les parties prenantes à le mettre en Suvre.

Programme de réformes du RGPD

Le premier lot de réformes du RGPD, publié dans le Journal officiel de l'UE le 12 décembre 2025, représente une étape importante dans le développement continu des règles de protection des données de l'UE et marque le début de la prochaine phase du cadre du RGPD. Ce nouveau règlement vise à assurer que les enquêtes dans les situations qui concernent un traitement transfrontalier sont menées conformément au principe de bonne administration, en particulier qu'elles sont menées de manière impartiale, équitable et dans un délai raisonnable. Le traitement des réclamations et la conduite des enquêtes dans les situations qui concernent un traitement transfrontalier incluent le fait de déterminer si une situation concerne un traitement transfrontalier.

Pour ne rien manquer!

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a publié des articles qui pourraient vous intéresser :

• Données pseudonymisées : principaux enseignements de la décision de la CJUE
• Omnibus numérique – Accent sur les dispositions relatives aux données personnelles
• FAQ sur la conformité en matière d'IA – Ce que les entreprises et les développeurs doivent savoir

Prix

Nareg Froundjian, Kayla Lafrenière et Julie Uzan-Naulin ont remporté un prix aux Autumn 2025 Thought Leadership Awards de Mondaq dans la catégorie Protection des données (Canada) pour leur bulletin : « Quelle incidence le règlement sur la résilience opérationnelle numérique (DORA) aura-t-il sur les sociétés canadiennes? ».

********************

De la part de toute l'équipe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken, nous vous souhaitons de joyeuses Fêtes et une bonne année!

À propos du Groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken

Notre pratique en protection de la vie privée et en cybersécurité est l'une de celles qui sont établies depuis le plus longtemps dans le marché. Notre équipe nationale de premier plan est composée de plus de 30 avocates et avocats et offre une vaste gamme de services. Qu'il s'agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le Règlement général sur la protection des données de l'UE et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets et qui bénéficient de la confiance de clients de tous les secteurs. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l'année » lors des Prix PICCASO, en plus d'avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.