Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres de ce groupe, qui se fera un plaisir de vous aider.
Canada
La Cour d’appel de la Colombie-Britannique rend une décision dans l’affaire Clearview AI
Le 18 février 2026, la Cour d’appel de la Colombie-Britannique a rejeté (en anglais seulement) l’appel de Clearview AI concernant le contrôle judiciaire dont la décision du Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique a fait l’objet. Selon cette décision, Clearview AI a enfreint la Personal Information Protection Act de la Colombie-Britannique (« PIPA »). Par conséquent, le Commissaire à la protection de la vie privée de la Colombie-Britannique a interdit à Clearview AI d’offrir ses services de reconnaissance faciale en Colombie-Britannique. La Cour d’appel a déterminé que la PIPA s’applique bel et bien à Clearview AI et qu’elle ne l’exempte pas de l’obligation d’obtenir des personnes le consentement requis pour la collecte et l’utilisation des renseignements personnels provenant de sources en ligne.
Modifications proposées à la Freedom of Information and Protection of Privacy Act en Colombie-Britannique
Le 26 février 2026, le projet de loi 9 (en anglais seulement), la Freedom of Information and Protection of Privacy Amendment Act, 2026, a été déposé à l’Assemblée législative de la Colombie-Britannique. Ce projet de loi propose de modifier la version actuelle de la Freedom of Information and Protection of Privacy Act de la Colombie-Britannique (« FIPPA ») qui régit la façon dont les entités du secteur public collectent, utilisent et communiquent des renseignements personnels. Ces entités devraient surveiller ces modifications à mesure qu’elles progressent dans le processus législatif.
Le projet de loi 97, Loi de 2026 sur le plan pour protéger l’Ontario (mesures budgétaires)
Le projet de loi 97, Loi de 2026 sur le plan pour protéger l’Ontario (mesures budgétaires) introduira des modifications importantes au cadre ontarien en matière d’accès à l’information et de protection de la vie privée en modifiant à la fois la Loi sur l’accès à l’information et la protection de la vie privée et la Loi sur l’accès à l’information municipale et la protection de la vie privée.
Les réformes moderniseraient le cadre ontarien en matière d’accès à l’information et de protection de la vie privée en renforçant la confidentialité des bureaux des hauts fonctionnaires, en simplifiant les processus liés à l’accès à l’information et en améliorant les mécanismes de transparence. Elles introduisent également des obligations plus strictes en matière de cybersécurité dans le secteur public, y compris des mesures de sécurité obligatoires, des obligations en matière de déclaration des incidents et des pratiques améliorées relatives à la protection des données.
Publication du rapport à jour du ratissage du réseau mondial d’application des lois sur la protection de la vie privée
Le Commissaire à la protection de la vie privée du Canada a publié les résultats de son plus récent ratissage pour la protection de la vie privée, qui met en évidence comment l’adoption de pratiques adaptées aux enfants sur les sites Web et les applications mobiles peut protéger la vie privée des enfants en ligne. Le ratissage a été mené en collaboration avec 26 autorités de protection des données et de la vie privée de partout dans le monde. De façon générale, un plus grand nombre de mesures de protection des renseignements personnels ont été observées par rapport au dernier ratissage mené en 2015. Le rapport est présenté ici.
Le commissaire à la protection de la vie privée de la Colombie-Britannique publie un guide sur les vérifications, les enquêtes et les examens de conformité menés par celui-ci
Le 23 mars 2026, le Commissariat à l’information et à la protection de la vie privée (CIPVP) de la Colombie-Britannique a publié un guide (en anglais seulement) sur les vérifications, les enquêtes et les examens de conformité menés par celui-ci. Ce guide vise à aider les organismes publics et les organisations du secteur privé à mieux comprendre le mandat et les fonctions du CIPVP en matière de vérifications, d’enquêtes et d’examens de conformité.
Le commissaire à la protection de la vie privée de l’Alberta conçoit un guide et un modèle afin d’aider les organismes publics à préparer les évaluations des facteurs relatifs à la vie privée
Le 26 mars 2026, le commissaire à l’information et à la protection de la vie privée de l’Alberta a annoncé la publication du nouveau guide et modèle visant à aider les organismes publics à effectuer les évaluations des facteurs relatifs à la vie privée prévues par la nouvelle Protection of Privacy Act (« POPA »), qui est entrée en vigueur en 2025. Ce guide constitue une méthode claire et uniforme que les organismes publics peuvent utiliser dans le cadre du processus d’évaluation des facteurs relatifs à la vie privée. Le guide et modèle (en anglais seulement) a été publié sur le site Web du commissaire à la protection de la vie privée de l’Alberta.
La Chambre des communes adopte le projet de loi C-8
Le 26 mars 2026, le projet de loi C-8, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois, a été adopté en troisième lecture à la Chambre des communes et a été renvoyé au Sénat. Le projet de loi établit un cadre obligatoire relatif à la cybersécurité des systèmes essentiels dans les secteurs clés. Selon la décision du Président de la Chambre, les arrêtés gouvernementaux de cybersécurité, aux termes du projet de loi, demeurent assujettis à un contrôle judiciaire ultérieur.
Pour plus de détails, nous vous invitons à consulter notre bulletin récent (en anglais seulement).
États-Unis
La Caroline du Sud adopte le Age-Appropriate Design Code visant les plateformes en lignes
Le 5 février 2026, la Caroline du Sud a adopté le code de conception en fonction de l’âge (Age-Appropriate Design Code) H 3431 (en anglais seulement), qui est entré en vigueur le 1er mars 2026. Cette nouvelle loi s’applique aux services en ligne visés qui exercent des activités en Caroline du Sud, auxquels les mineurs (les enfants de moins de 18 ans) sont raisonnablement susceptibles d’accéder et qui enregistrent certains seuils de revenus ou quantités de données. Les organisations qui exercent des activités destinées aux mineurs en Caroline du Sud devraient examiner les exigences prévues par la nouvelle loi et en tenir compte.
L’Oklahoma adopte une nouvelle loi sur la protection des renseignements personnels
Le 23 mars 2026, la Chambre des représentants de l’Oklahoma a annoncé l’adoption du projet de loi 546 (en anglais seulement) par le Sénat. Cette nouvelle loi établit de nouveaux droits des consommateurs en matière de renseignements personnels et de nouvelles règles visant les entreprises qui collectent, utilisent et traitent des renseignements sur les résidents de l’Oklahoma. La nouvelle loi entrera en vigueur le 1ᵉʳ janvier 2027, ce qui laisse aux entreprises le temps de se préparer à s’y conformer.
L’Etat de Washington adopte une loi sur les compagnons d’intelligence artificielle
En mars 2026, l’État de Washington a adopté la nouvelle loi HB 2225 (en anglais seulement) qui régit l’utilisation des compagnons d’intelligence artificielle (IA) par les entreprises en ligne. Les robots conversationnels propulsés par l’IA qui agissent comme compagnons sont définis comme comportant un système d’IA qui crée une relation similaire à une relation durable qu’un utilisateur pourrait avoir avec un humain. Cette loi ne s’applique pas aux systèmes d’IA utilisés pour le service à la clientèle, la productivité, l’information et les clavardages intégrés aux jeux en ligne. Les dispositions de la nouvelle loi visent principalement à assurer la transparence des compagnons d’IA pour les utilisateurs. La loi entrera en vigueur le 1er janvier 2027, ce qui laisse aux entreprises le temps de se conformer aux exigences.
Le Dakota du Sud adopte une loi sur la protection des données génétiques
Le 23 mars 2026, le Dakota du Sud a adopté le projet de loi 49 (en anglais seulement) afin de protéger les données génétiques des consommateurs. La loi impose certaines exigences aux entreprises de tests génétiques et prévoit des droits supplémentaires pour les résidents du Dakota du Sud. Elle entrera en vigueur le 1er juillet 2026.
Union européenne
Une première demande d’accès peut être rejetée en raison de son caractère abusif en vertu du Règlement général sur la protection des données (RGPD)
Une demande d’accès à ses propres données à caractère personnel peut être considérée comme abusive et être refusée si elle est faite dans le seul but de demander ensuite des indemnités au titre d’une prétendue violation du RGPD.
Une personne résidant en Autriche s’est abonnée au bulletin d’information de Brillen Rottler, une entreprise d’optique allemande, en lui fournissant ses données à caractère personnel par l’intermédiaire du site Web de l’entreprise. Treize jours plus tard, cette personne a soumis une demande d’accès à ses données à caractère personnel au titre de l’article 15 du RGPD. Brillen Rottler a rejeté la demande, faisant valoir qu’elle était abusive, car la personne en question aurait l’habitude de s’abonner à des bulletins d’information uniquement pour soumettre des demandes d’accès et ensuite demander une réparation. La personne a contesté cette qualification, a soutenu que sa demande était légitime et a demandé une indemnité d’au moins 1 000 € en réparation de son dommage moral, subi au titre du refus. Le tribunal de district a soumis des questions à la Cour de justice de l’UE afin de déterminer si une première demande d’accès peut être considérée comme excessive et si une réparation peut être demandée pour une prétendue violation du droit d’accès.
La Cour a tranché qu’une première demande d’accès peut, dans certaines circonstances, déjà être considérée comme « excessive » au sens du RGPD et donc abusive.
- Il s’agit d’un cas où le responsable du traitement peut démontrer que la demande a été faite non pas pour comprendre ou vérifier la licéité du traitement des données, mais plutôt pour créer artificiellement des motifs afin d’obtenir une réparation. Des preuves qu’une personne concernée a soumis à plusieurs reprises des demandes d’accès à divers responsables du traitement, suivies de demandes de réparation, peuvent être prises en compte pour établir l’existence d’une intention abusive.
- Les personnes qui subissent un dommage matériel ou moral du fait d’une violation du RGPD, y compris une violation du droit d’accès, ont en principe droit à une réparation. Cependant, pour obtenir une réparation, la personne concernée doit prouver qu’un dommage réel a été subi.
- Il est impossible d’obtenir réparation lorsque le dommage est principalement causé par le comportement de la personne concernée.
Législation sur les réseaux numériques – avis du CEPD
Le 21 janvier 2026, la Commission européenne a adopté la proposition de règlement relatif à la législation sur les réseaux numériques (Digital Networks Act). Cette proposition vise à harmoniser les règles de l’Union européenne sur les communications électroniques et à remplacer certains textes législatifs importants comme le code des communications électroniques européen, la réglementation de l’Organe des régulateurs européens des communications électroniques, le programme de la politique en matière de spectre radioélectrique, ainsi que certaines parties du règlement de l’Union européenne relatif à l’accès à un internet ouvert et de la directive concernant la protection de la vie privée dans le secteur des communications électroniques.
Le Contrôleur européen de la protection des données (CEPD) se réjouit de cet objectif, mais plaide (en anglais seulement) en faveur de garanties plus solides en matière de protection de la vie privée. Plus précisément, le CEPD met l’emphase sur les points suivants :
- Les données personnelles ne doivent pas constituer une rémunération pour les services de communications électroniques.
- La protection des utilisateurs finaux contre la fraude devrait être davantage réglementée.
- Un consentement préalable devrait être exigé avant la saisie des données des utilisateurs dans des annuaires publics.
Le CEPD recommande également de désigner, en vertu du RGPD, des autorités de contrôle chargées de l’application des nouvelles dispositions relatives à la protection de la vie privée dans les communications électroniques et de faciliter le partage de renseignements entre les organismes réglementaires.
Enfin, le CEPD a soulevé des préoccupations quant à l’utilisation proposée de données géospatiales et socioéconomiques plus détaillées, et réclame des vérifications de « stricte nécessité » et des mesures de sécurité bien définies.
Le Commissariat à l’information du Royaume-Uni publie une déclaration commune sur le contrôle de l’âge pour les services en lignes
Le 25 mars 2026, le Commissariat à l’information (Information Commissioner’s Office) du Royaume-Uni a publié une déclaration commune avec Ofcom à l’égard de la portée de la Online Safety Act et de la législation sur la protection des données du Royaume-Uni, lesquelles portent sur le contrôle de l’âge. La déclaration vise à fournir aux services en ligne auxquels des enfants ont accès les renseignements nécessaires pour se conformer à leurs obligations en vertu des lois. Il est possible de consulter la déclaration ici (en anglais seulement).
Le Comité européen de la protection des données adopte un modèle pour les analyses d’impact relatives à la protection des données
Le 14 avril 2026, le Comité européen de la protection des données a adopté un modèle (en anglais seulement) pour les analyses d’impact relatives à la protection des données (AIPD). Ce modèle est accompagné d’un document explicatif conçu pour faciliter l’entrée des données. Ce document énonce les principaux concepts dans un langage clair et répond aux questions ou aux connaissances insuffisantes potentielles des contrôleurs. Le modèle est ouvert à la consultation publique jusqu’au 9 juin. Pendant cette période, les parties prenantes sont invitées à soumettre leurs commentaires et leurs suggestions. Après la période de consultation, les autorités de protection des données prendront des mesures pour adopter le modèle à titre de norme principale ou de « métamodèle » qui correspond aux cadres nationaux d’AIPD. Entre-temps, les organisations sont invitées à utiliser le modèle et à fournir des commentaires dans le cadre du processus de consultation.
Pour ne rien manquer!
Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a récemment publié cet article qui pourrait vous intéresser :
- Bill C-8 Passes House of Commons Following Substantive Amendments and Speaker’s Ruling (en anglais seulement)
Où nous trouver
Les membres de notre groupe Protection des renseignements personnels, vie privée et cybersécurité prendront la parole ou assisteront à l’événement suivant au cours des prochains mois. Au plaisir de vous croiser lors de cet événement!
- Symposium canadien 2026 de l’IAPP – 4 et 5 mai 2026
À propos du groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken
Notre pratique en protection de la vie privée et en cybersécurité est l’une de celles qui sont établies depuis le plus longtemps dans le marché. Notre équipe nationale de premier plan est composée de plus de 30 avocates et avocats et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le Règlement général sur la protection des données de l’UE et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets et qui bénéficient de la confiance de clients de tous les secteurs. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.
