Bulletin Protection des renseignements confidentiels, vie privée et cybersécurité

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par l'équipe nationale Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l'un des sujets abordés, veuillez communiquer avec notre sympathique équipe d'avocats et avocates en protection des renseignements personnels et en cybersécurité.

Les actualités à noter ce mois-ci

Canada

La nouvelle loi québécoise sur les renseignements de santé entrera en vigueur le 1ᵉʳ juillet 2024

Le 12 juin 2024, le ministre de la Santé du Québec a annoncé que certaines dispositions de la nouvelle Loi sur les renseignements de santé et de services sociaux du Québec entreront en vigueur le 1ᵉʳ juillet 2024. Ce changement important permettra une circulation plus fluide des renseignements de santé et de services sociaux au sein du réseau, tout en s'assurant qu'ils soient bien protégés. La loi est accessible sur le site Web de l'Assemblée nationale du Québec.

Les autorités de protection de la vie privée du Canada et du Royaume-Uni ont lancé une enquête conjointe sur l'atteinte à la sécurité des données de 23andMe

À la fin de 2023, 23andMe a subi une atteinte importante à la sécurité des données touchant près de 7 millions d'utilisateurs. Les pirates informatiques ont eu recours au bourrage d'identifiants pour accéder à des comptes et obtenir des renseignements sensibles comme des noms, des arbres généalogiques et des données chromosomiques. Cette atteinte a donné lieu à une enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du commissaire à l'information (Information Commissioner's Office) du Royaume-Uni. L'enquête porte sur la conformité de 23andMe aux règlements sur la protection des données ainsi que sur sa réponse à l'atteinte, notamment la réinitialisation obligatoire des mots de passe et l'authentification multifactorielle.

Le Commissaire à la protection de la vie privée du Canada publie un rapport sur les tendances en matière de protection de la vie privée

Le Commissariat à la protection de la vie privée du Canada (CPVP) a remis au Parlement son rapport annuel 2023-2024 qui s'intitule Renforcer la confiance, favoriser l'innovation et protéger le droit fondamental à la vie privée à l'ère numérique. Le rapport décrit les principales activités et réalisations que le CPVP a accomplies pour protéger et promouvoir le droit à la vie privée des Canadiennes et Canadiens. Il fournit également des statistiques sur les plaintes et les atteintes à la vie privée signalées au CPVP. Les statistiques montrent notamment que le nombre d'individus touchés a doublé par rapport à l'année précédente, même si le nombre d'incidents signalés est resté le même.

Le gouvernement de l'Ontario présente une nouvelle loi intitulée « améliorer la sécurité numérique et les fiducies 2024 »

Le 13 mai 2024, le gouvernement de l'Ontario a présenté le Projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, qui vise à renforcer l'infrastructure numérique et la protection des données au sein des entités et des services publics en Ontario. Si ce projet de loi est adopté, son annexe 1 édicterait la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique et son annexe 2 modifierait la Loi sur l'accès à l'information et la protection de la vie privée. Comme cela entraînerait d'importants changements pour les entités publiques de l'Ontario, nous suivons la situation de près. D'ailleurs, nous publierons sous peu bulletin détaillé sur le contenu du projet de loi.

Le commissaire à la protection de la vie privée de l'Alberta fait des recommandations sur les modifications à apporter à la loi sur la protection des renseignements personnels dans le secteur privé

Le commissaire à la protection de la vie privée de l'Alberta a publié une déclaration (en anglais) ainsi que des recommandations pour mettre à jour la Personal Information Protection Act. Cette Loi impose des obligations aux organisations privées lorsqu'elles traitent des renseignements personnels. Les recommandations du commissaire portent sur le renforcement des protections et des droits individuels et suivent la voie tracée par d'autres lois rigoureuses en matière de protection de la vie privée, comme le RGPD de l'UE. Le commissaire recommande, entre autres, la mise en Suvre de droits supplémentaires, de règles pour protéger la confidentialité des données relatives aux enfants et de mécanismes d'application plus importants. Il s'agit peut-être d'un avant-goût de ce qui s'en vient, alors restez à l'affût.

La Commission d'accès à l'information du Québec a mis à jour ses fiches d'information sur les vérifications d'identité

Afin de sensibiliser les citoyens et les entreprises, la Commission a produit une série de fiches d'information destinées à répondre aux questions sur les pièces d'identité. Les pièces d'identité sont habituellement délivrées par des organismes gouvernementaux pour des motifs précis. Bien qu'elles puissent être utilisées pour confirmer l'identité d'une personne dans certaines situations, les lois limitent les situations où ces documents peuvent être exigés. Si votre organisation a recours à des pièces d'identité dans le cadre de ses activités, ces fiches d'information peuvent être un outil utile.

Le commissaire à la protection de la vie privée du canada lance une consultation sur les systèmes de confirmation de l'âge

Le 10 juin 2024 à Toronto, au Symposium sur la protection de la vie privée organisé par la section canadienne de l'International Association of Privacy Professionals, le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a lancé une consultation pour recueillir les observations du public sur les technologies de confirmation de l'âge. La période de consultation prend fin le 10 septembre 2024. Cette consultation permettra d'évaluer la pertinence et les répercussions sur la vie privée de divers mécanismes de vérification de l'âge des utilisateurs en ligne, y compris la déclaration de l'âge, la vérification et l'estimation de l'âge, lesquels servent à restreindre l'accès des jeunes utilisateurs à du contenu préjudiciable. Les observations recueillies aideront le Commissariat à la protection de la vie privée du Canada (CPVP) à élaborer des politiques et des règlements, à rédiger un document d'orientation et à tenir d'autres consultations. Le CPVP a l'intention de publier une déclaration commune internationale sur les principes relatifs à la confirmation de l'âge plus tard cette année, mettant en évidence les efforts déployés pour améliorer la sécurité en ligne des jeunes tout en respectant le droit à la vie privée.

États-Unis

Le Vermont adopte une nouvelle loi sur la protection de la vie privée des consommateurs

Le 11 mai 2024, l'Assemblée législative du Vermont a adopté une nouvelle loi sur la protection de la vie privée des consommateurs, la Vermont Data Privacy Act (en anglais). La Loi s'inscrit dans la lignée de nombreuses autres lois de l'État en étendant les droits individuels et en imposant aux organisations des obligations en matière de protection des données personnelles. Toutefois, la Loi confère également aux personnes un droit privé d'action leur permettant de poursuivre des organisations en cas d'utilisation abusive de leurs renseignements personnels sensibles. Comme cette Loi entrera en vigueur le 1ᵉʳ juillet 2025, les organisations ont un peu de temps pour se préparer.

New York adopte une loi visant à restreindre l'accès des enfants au contenu addictif fondé sur des algorithmes

Le 7 juin 2024, la loi Stop Addictive Feeds Exploitation (SAFE) for Kids Act et la loi New York Child Data Protection Act ont été adoptées dans l'État de New York. Vous trouverez le texte du projet de loi ici (en anglais). Aux termes de la loi SAFE, les entreprises de médias sociaux doivent s'abstenir d'afficher sur leurs plateformes du contenu addictif à l'intention des moins de 18 ans et d'envoyer des notifications à certaines heures de la journée, et toutes les organisations doivent établir des processus de vérification de l'âge. La loi New York Child Data Protection Act interdira aux sites Web de recueillir, d'utiliser, de communiquer ou de vendre les données personnelles de toute personne de moins de 18 ans, à moins d'avoir obtenu son consentement éclairé ou à moins que cela ne soit absolument nécessaire pour réaliser les objectifs du site Web.

La Californie approuve une loi sur les droits relatifs aux neurones pour protéger les données neuronales

En avril 2024, le Sénat de la Californie a approuvé des modifications à la California Consumer Privacy Act par l'intermédiaire du projet de loi SB 1223(en anglais). Ces modifications visent à mieux protéger les données neuronales d'une personne de l'utilisation abusive par des sociétés. Le projet de loi ajoute les données neuronales à la définition des renseignements personnels sensibles aux termes de la Loi et applique à leur utilisation les mêmes protections juridiques que celles qui sont utilisées pour les autres renseignements personnels sensibles. La définition de « données neuronales » a été proposée comme étant de « l'information générée par la mesure de l'activité du système nerveux central ou périphérique d'une personne qui peut être traitée par la neurotechnologie ou avec son aide ».

Europe

L'autorité néerlandaise de protection des données publie des lignes directrices sur le moissonnage de données

Les lignes directrices définissent le moissonnage de données comme étant la collecte et l'enregistrement automatisés de renseignements provenant de pages Web. Elles rappellent que les organisations doivent se conformer au Règlement général pour la protection des données (RGPD) lorsqu'elles enregistrent des données à caractère personnel, notamment en ayant un fondement juridique adéquat et en se conformant aux principes de traitement des données à caractère personnel et, de façon plus générale, à l'ensemble du RGPD.

Vous pouvez lire les lignes directrices ici (en néerlandais seulement).

Le CEPD lance son guide de protection des données pour les petites entreprises

Le Guide fournit aux PME des renseignements pratiques sur la conformité au RGPD et les avantages qui en découlent dans un langage accessible et facile à comprendre. Il couvre divers aspects du RGPD, que ce soit les bases de la protection des données, les droits des personnes concernées ou les mesures à prendre pour sécuriser les données personnelles. Il contient des vidéos, des infographies, des diagrammes interactifs et d'autres documents pratiques pour aider les PME à se conformer au RGPD.

Le CEPD publie des lignes directrices sur l'intelligence artificielle générative et les données à caractère personnel pour les institutions, organes et organismes de l'UE

Le 3 juin 2024, le Contrôleur européen de la protection des données (CEPD) a publié des lignes directrices (en anglais) à l'intention des institutions, des organes et des organismes de l'UE sur la façon d'utiliser l'IA générative tout en respectant le Règlement (UE) 2018/1725. Ces lignes directrices mettent en lumière les principes fondamentaux de protection des données, des exemples pratiques et des conseils sur la détermination des activités de traitement des données, la réalisation d'analyses d'impact et d'autres recommandations clés. Publiées par le CEPD en tant qu'autorité indépendante de protection des données, ces lignes directrices visent à garantir que les institutions de l'UE se conforment aux lois sur la protection des données. Il convient de distinguer ce rôle du CEPD de celui qui lui incombe aux termes de la législation sur l'IA de l'UE et pour lequel il est en train d'élaborer une stratégie différente.

La CNIL de France publie ses recommandations sur l'ouverture des données sur internet

À l'issue d'une consultation publique, la Commission Nationale de l'Informatique et des Libertés (CNIL) a publié le 12 juin 2024 ses recommandations sur l'ouverture (open data) et la réutilisation des données publiées sur Internet. Ces lignes directrices sont conçues pour aider les professionnels à concilier leurs obligations et leurs intérêts avec les droits des personnes en ce qui concerne leurs données personnelles.

