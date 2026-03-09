Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention.

Protection des renseignements personnels et cybersécurité au Canada et dans l'Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres de ce groupe, qui se fera un plaisir de vous aider.

Canada

Déclaration de coopération entre le Commissaire à la protection de la vie privée du Canada et l'autorité française de protection des données (CNIL)

Le Commissaire à la protection de la vie privée du Canada et la présidente de la CNIL ont signé une déclaration de coopération en marge de la réunion virtuelle de la table ronde des autorités de protection des données et de la vie privée du G7 le 10 décembre 2025.

Cet accord vise à renforcer la collaboration entre les deux autorités par la conduite de recherches conjointes sur les technologies émergentes et les questions de protection des données, par le partage de bonnes pratiques, de méthodes d'enquête et de stratégies réglementaires ainsi que par l'organisation d'ateliers de travail. Le partenariat permettra de renforcer les liens institutionnels et humains et la compréhension commune des nouvelles technologies et de mieux relever les défis liés à la protection des données à caractère personnel touchant les citoyens du Canada et de la France.

Rapport du Bureau de la concurrence sur la portabilité des données

Le Bureau de la concurrence a publié le rapport Vos données, votre contrôle, qui explique comment la portabilité des données peut donner plus de choix aux consommateurs et renforcer la concurrence au Canada. Le Bureau estime que permettre aux consommateurs de transférer leurs données en toute sécurité entre les fournisseurs de services pourrait donner lieu à des économies. Il donne en exemple le secteur de l'assurance, dans lequel les Canadiens et Canadiennes pourraient économiser de 1,10 à 3,8 milliards de dollars par année.

Le rapport présente les principaux facteurs d'un cadre efficace de portabilité des données : solides mesures de protection de la vie privée, règles de consentement claires, application des enseignements tirés de modèles internationaux comme ceux de l'Union européenne (UE), du Royaume-Uni et de l'Australie, forte interopérabilité entre les plateformes numériques, etc.

Le Commissariat à la protection de la vie privée du Canada ajoute les « données neuronales » à la liste des renseignements sensibles dans un bulletin d'interprétation

Le Commissariat à la protection de la vie privée du Canada a mis à jour son bulletin d'interprétation sur les renseignements sensibles afin d'inclure explicitement les données neuronales comme une catégorie de renseignements personnels qui sont généralement considérés comme sensibles et qui, par conséquent, nécessitent une protection renforcée. Les données neuronales désignent les renseignements recueillis en mesurant l'activité du système nerveux d'une personne au moyen de la neurotechnologie. Les sociétés technologiques développent de plus en plus de produits capables de recueillir et d'analyser ces données, et des territoires comme la Californie les considèrent déjà comme des renseignements personnels sensibles. Cette modification mineure souligne l'importance croissante de tenir compte des implications en matière de protection de la vie privée alors que l'utilisation de la neurotechnologie se répand.

Les commissaires à la protection de la vie privée de l'Ontario et de la Colombie-Britannique publient des lignes directrices concernant l'utilisation de transcripteurs par IA dans le secteur de la santé

Le 28 janvier 2026, les commissaires à la protection de la vie privée de l' Ontario et de la Colombie-Britannique (en anglais seulement) ont chacun publié des lignes directrices sur l'utilisation des transcripteurs par IA dans le secteur de la santé, ce qui démontre que l'on reconnaît de plus en plus qu'il faut traiter les risques connexes liés à la protection de la vie privée et à la gouvernance de l'IA. Cette évolution s'inscrit dans un contexte d'adoption accrue de ces technologies dans le secteur de la santé, notamment à la lumière de certains incidents de confidentialité survenus au cours des dernières années.

Les commissaires de l'Ontario et de la Colombie-Britannique fournissent tous deux des directives sur l'utilisation appropriée des transcripteurs alimentés par IA, qui sont principalement fondées sur les exigences de la législation en matière de protection des renseignements sur la santé. Ces exigences comprennent notamment la limitation de la collecte de ces renseignements, l'obtention d'un consentement explicite, le souci de l'exactitude grâce à une surveillance par un humain et la mise en œuvre des mesures de sécurité robustes. Les lignes directrices abordent également les questions relatives à la diligence raisonnable et à l'exécution des contrats avec les fournisseurs de services ainsi que les préoccupations concernant l'IA elle-même, comme les biais dans les systèmes d'IA.

Pour ce qui est des différences, l'Ontario adopte un cadre plus large de gouvernance de l'IA, couvrant le développement des systèmes, l'approvisionnement et la surveillance organisationnelle par l'intermédiaire d'un comité de gouvernance de l'IA, tandis que la Colombie-Britannique se concentre davantage sur les mesures pratiques de conformité pour les fournisseurs de soins de santé.

Union européenne

Des décisions d'adéquation mutuelles entre le Brésil et l'UE

Le 26 janvier 2026, la Commission européenne et le Brésil ont adopté des décisions d'adéquation mutuelles, confirmant que leurs niveaux de protection des données sont comparables. Les données à caractère personnel pourront circuler librement et en toute sécurité entre l'UE et le Brésil sans aucune exigence supplémentaire, comme l'inclusion de clauses contractuelles types.

Mise à jour de la foire aux questions relative au Règlement sur les données de l'UE

Le 22 janvier 2026, la foire aux questions (FAQ), conçue pour aider les parties prenantes à mettre en œuvre les dispositions légales du règlement, a été mise à jour afin de tenir compte de leurs commentaires. La version mise à jour clarifie davantage des concepts clés tels que les données concernées, les rôles et les responsabilités des détenteurs et des utilisateurs de données ainsi que l'interaction du règlement avec les autres règlements européens sur les données.

Avis conjoint 1/2026 de l'EDPB et du CEPD au sujet de l'omnibus numérique sur l'IA

L'EDPB et le CEPD appuient (en anglais seulement) l'objectif principal de la proposition, soit d'aborder certaines difficultés liées à la mise en œuvre du Règlement sur l'intelligence artificielle (le « règlement sur l'IA ») afin d'en assurer l'application efficace. Ils notent que des lignes directrices conjointes sur la manière dont le RGPD et ce règlement interagissent sont en cours d'élaboration avec la Commission européenne et devraient être publiées plus tard cette année, ce qui cadre avec les engagements pris par l'EDPB afin de renforcer la conformité au RGPD et de soutenir l'innovation responsable en Europe.

Un autre objectif de la proposition est de réduire le fardeau administratif pour les entreprises, les administrations publiques et le grand public. Bien que l'EDPB et le CEPD soient d'accord avec cet objectif, ils insistent sur le fait que ces efforts ne doivent pas affaiblir la protection des droits fondamentaux des individus, en particulier la protection des données à caractère personnel. Ils rappellent que les premières versions du règlement sur l'IA allaient déjà dans ce sens, en proposant des modifications visant à réduire le fardeau sans compromettre les droits. Ils mettent l'accent sur la nécessité d'atteindre un équilibre délicat : la simplification administrative ne doit pas porter atteinte aux droits fondamentaux dans le contexte de l'IA. Bref, il ne faut pas réduire les mesures de protection prévues dans le règlement sur l'IA sans examiner attentivement ce que cela signifierait pour la protection des droits des individus. L'avis conjoint précise les domaines qui nécessitent une attention accrue et contient des recommandations pour que la version finale de la proposition maintienne de solides protections des droits fondamentaux et offre une plus grande certitude juridique à toutes les parties prenantes.

Avis conjoint de l'EDPB et du CEPD sur l'omnibus numérique

Le 10 février 2026, l'EDPB et le CEPD ont adopté un avis conjoint (en anglais seulement) sur la proposition de règlement visant à simplifier le cadre législatif numérique (l'omnibus numérique).

L'EDPB et le CEPD accueillent favorablement plusieurs modifications proposées pour améliorer l'harmonisation, la cohérence et la sécurité juridique tout en réduisant les fardeaux administratifs inutiles. Ces modifications comprennent la nouvelle définition de la recherche scientifique, l'exception limitée autorisant le traitement de catégories particulières de données à des fins d'authentification biométrique, les seuils plus élevés et les délais prolongés pour les signalements d'atteinte à la protection des données et les analyses d'impact relatives à la protection des données (AIPD) ainsi que la création de listes et de modèles communs pour ces signalements et ces analyses.

Toutefois, l'EDPB et le CEPD préviennent que certaines modifications proposées pourraient affaiblir les droits à la protection des données, notamment en réduisant la portée de la définition des données à caractère personnel, et créer une incertitude juridique. Ils comprennent le raisonnement derrière les autres modifications, mais demandent des protections plus claires dans des domaines tels que l'IA, le traitement des données sensibles, les droits d'accès, la transparence et la prise de décisions automatisée.

En ce qui concerne les modifications liées à la directive « Vie privée et communications électroniques », l'EDPB et le CEPD appuient la simplification des règles afin de réduire la lassitude associée au consentement, mais craignent que la répartition de ces règles dans différentes lois crée une incertitude juridique. Ils recommandent d'utiliser des protections plus strictes, notamment en permettant les publicités contextuelles, et soulignent que les autorités de protection des données doivent disposer de pouvoirs efficaces pour faire respecter les nouvelles règles.

Enfin, l'EDPB et le CEPD accueillent favorablement les efforts de clarification et de rationalisation de l'acquis numérique législatif, notamment l'intégration des règles du Règlement sur la gouvernance des données et de la Directive concernant les données ouvertes dans le Règlement sur les données. Ils soulignent que les organismes publics ne sont pas tenus de permettre la réutilisation de données à caractère personnel et que, en cas d'urgence, seules les données pseudonymisées devraient être partagées lorsque les données anonymes sont insuffisantes. Ils demandent également des mesures de protection solides, de la transparence, une supervision appropriée, des règles d'application plus claires et des instructions continues des institutions de l'UE afin d'assurer un partage de données cohérent et responsable.

Proposition de règlement relatif au Règlement sur la cybersécurité de l'UE

La Commission européenne a présenté (en anglais seulement) un nouveau dispositif de cybersécurité visant à renforcer davantage la résilience et les capacités globales de l'UE en matière de cybersécurité. Un élément central de cette initiative est la révision proposée du Règlement sur la cybersécurité de l'UE. Le règlement mis à jour vise à rehausser les capacités en matière de cybersécurité, à améliorer la résilience, à prévenir la fragmentation au sein du marché unique numérique de l'UE et à renforcer la sécurité des chaînes d'approvisionnement en TIC dans toute l'UE.

De plus, la proposition introduit un processus de certification plus rationalisé afin de veiller à ce que les produits mis à la disposition des citoyens de l'UE soient sécurisés dès la conception. Elle permettra aussi de simplifier la conformité aux exigences de cybersécurité existantes de l'UE et de renforcer le rôle de l'ENISA, l'agence de l'UE pour la cybersécurité, dans l'appui aux États membres et aux institutions de l'UE pour lutter contre les menaces de cybersécurité.

Rapport sur les règles de droit civil applicables aux contrats intelligents

La Commission européenne a publié (en anglais seulement) un nouveau rapport évaluant si les règles de droit civil dans l'UE créent des obstacles au déploiement de contrats intelligents sur le marché unique et soupesant le potentiel des outils de contrats intelligents pour la gestion des données à caractère personnel. L'étude comprend une analyse économique des contrats intelligents, un examen comparatif des règles de droit civil dans 30 pays de l'Espace économique européen (EEE), une évaluation de la faisabilité technique reliant les défis juridiques aux solutions techniques et un suivi de la façon dont les dispositifs d'enregistrement électronique partagé et les contrats juridiques intelligents pourraient faciliter l'accès aux données à caractère personnel et leur partage.

