Canada: Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité (mars 2024)
Bulletin Protection des renseignements confidentiels, vie privée et cybersécurit

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par l'équipe nationale Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken. Il met en lumière des nouvelles, des sujets, des discussions et des affaires qui ont attiré notre attention dans le domaine de la protection des renseignements personnels et de la cybersécurité. Si vous avez des questions sur l'un des sujets abordés, veuillez communiquer avec notre sympathique équipe d'avocats et avocates en protection des renseignements personnels et en cybersécurité.

Les actualités à noter ce mois-ci

La Federal Trade Commission publie des orientations sur la modification sans préavis d'une politique de protection des renseignements personnels

Le 13 février 2024, la Federal Trade Commission (FTC) des États-Unis a publié des orientations (en anglais seulement) indiquant que les entreprises qui modifient leurs politiques de protection des renseignements personnels sans préavis et sans en informer les consommateurs, principalement dans le but de recueillir davantage de renseignements, se livreraient à des pratiques déloyales et trompeuses. La FTC a expressément ciblé les modifications apportées à une politique de protection des renseignements personnels visant à permettre le partage de données pour l'entraînement de l'intelligence artificielle et d'autres utilisations semblables. Le présent message rappelle à toutes les organisations qu'elles doivent examiner attentivement la collecte, l'utilisation et la communication des renseignements personnels, vérifier si le consentement a été obtenu et si leur politique de protection des renseignements personnels est exacte. 

Projet de règlement sur l'anonymisation au Québec

Le 20 décembre 2023, le projet de règlement sur l'anonymisation des renseignements personnels a été officiellement publié par le gouvernement du Québec. Dans sa version actuelle, le Règlement s'appliquera à toute personne qui exploite une entreprise privée au Québec ainsi qu'aux organismes publics et ordres professionnels du Québec. Il fait écho à l'introduction dans le droit québécois, par l'entremise de la Loi 25, de la notion d'« anonymisation » et établit les règles qui doivent être suivies pour anonymiser les renseignements personnels conformément aux lois applicables, permettant la création de données résultantes qui ne sont plus qualifiées de « renseignements personnels » et donc exemptées des restrictions législatives à cet égard. Nous vous invitons à lire le bulletin de Fasken sur le sujet, coécrit par Julie Uzan-Naulin, William Deneault-Rouillard et Jade Paquin-Robidoux.

Joe Biden publie un décret sur les renseignements personnels sensibles

Le 28 février 2024, Joe Biden a publié un décret (en anglais seulement) limitant l'accès des pays préoccupants à une grande échelle de données personnelles sensibles des Américains et aux données du gouvernement américain lorsque cet accès présente un risque inacceptable pour la sécurité nationale des États-Unis. La raison d'être de cette ordonnance est la façon dont une grande quantité de renseignements personnels sensibles peuvent être utilisés à mauvais escient ou manipulés par des technologies de pointe, en particulier par des pays qui préoccupent les États-Unis. L'administration Biden espère que ce décret contribuera à prévenir les actes d'espionnage et de chantage à l'encontre des citoyens américains et souligne l'utilité croissante des données personnelles pour toutes sortes d'organisations et d'acteurs étatiques. 

La commission d'accès à l'information du Québec met à jour son site web

Le 29 février 2024, la Commission d'accès à l'information du Québec a mis à jour son site Web, qui est désormais plus convivial. Le site contient des indications utiles de la part de la Commission sur la conformité à la nouvelle Loi. Au cours des prochains mois, l'équipe de la Commission entend enrichir le contenu du site Web, notamment en ce qui a trait à la Loi 25. Le nouveau site Web est accessible ici. 

La Californie publie des lignes directrices sur l'évaluation des risques ainsi qu'un règlement sur la prise de décisions automatisées

En mars 2024, la Privacy Protection Agency de la Californie a publié son projet de lignes directrices sur la manière dont les organisations devraient évaluer les risques liés au traitement des données américaines en vertu de la Consumer Privacy Act de la Californie (« CCPA »). Ces lignes directrices ne sont qu'un avant-projet, mais elles fournissent une indication de ce que les autorités de réglementation exigeront des organisations afin qu'elles soient conformes aux exigences permanentes de la CCPA. Rappelons que les organisations ont l'obligation, en vertu de la CCPA, d'effectuer des évaluations des risques liés au traitement qu'elles font des données personnelles. Les lignes directrices provisoires sont présentées ici (en anglais seulement).

Le NIST publie une version actualisée du cadre de cybersécurité 2.0

Le 26 février 2024, le National Institute of Standards and Technology (« NIST ») a mis à jour de son cadre de cybersécurité (en anglais seulement), qui avait initialement été publié en 2014. Le champ d'application du cadre actualisé a été élargi; le cadre s'applique à toutes les organisations de différents secteurs d'activité, sans égard au niveau de maturité atteint en matière de cybersécurité. Ce cadre propose des normes liées à la cybergouvernance et à la gestion des risques, à l'intelligence artificielle, à la gestion de la chaîne d'approvisionnement et à la gestion du risque lié aux tiers, à l'architecture zéro confiance et à la sécurité de l'Internet des objets. Comme il s'agit d'une norme importante utilisée par de nombreuses organisations pour mesurer leur conformité à la cybersécurité, le cadre actualisé doit être bien compris par les organisations.

Pour ne rien manquer :

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a publié des articles qui pourraient vous intéresser : 

• https://www.fasken.com/fr/knowledge/2024/02/survol-des-lignes-directrices-sur-la-validite-du-consentement-au-quebec 

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.