Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres de ce groupe, qui se fera un plaisir de vous aider.
Canada
Réforme de la législation fédérale sur la protection de la vie privée
Le 15 juin 2026, le gouvernement fédéral a déposé le projet de loi C-36, qui prévoit l’adoption de la Loi visant à protéger la vie privée et les données des consommateurs (LPVPDC), une loi fédérale sur la protection des renseignements personnels dans le secteur privé destinée à remplacer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le projet de loi C-36 a été présenté au Parlement pour une première lecture. Il s’agit de la troisième tentative du gouvernement fédéral de réformer le régime de protection de la vie privée dans le secteur privé depuis 2020.
Si elle est adoptée, la LPVPDC mettrait en place un cadre d’application plus rigoureux, donnant notamment à l’organisme de réglementation le pouvoir d’émettre des ordonnances contraignantes et d’imposer des sanctions pécuniaires administratives pouvant aller jusqu’à 10 millions de dollars canadiens en cas d’infraction. Le projet de loi reconnaîtrait également le droit à la vie privée comme un droit fondamental, obligerait les organisations à mettre en place des programmes de gestion de la protection de la vie privée et à réaliser des évaluations des facteurs relatifs à la vie privée, et imposerait des obligations de transparence renforcées en matière d’utilisation de l’intelligence artificielle. De plus, la LPVPDC établirait un cadre plus sophistiqué pour la dépersonnalisation qui la distingue de l’anonymisation, et accorderait aux individus de nouveaux droits, notamment des droits de retrait et de mobilité des données ainsi qu’un droit privé d’action.
Pour plus de détails, nous vous invitons à consulter notre récent bulletin sur le sujet.
Le gouvernement du Canada publie sa stratégie nationale en matière d’IA
Le Canada a dévoilé sa nouvelle stratégie nationale en matière d’IA, intitulée « L’IA pour tous », un plan quinquennal visant à transformer la solide base de recherche du pays dans ce domaine en avantages économiques et sociétaux à grande échelle, tout en renforçant la confiance et la souveraineté. Cette stratégie positionne l’IA comme un moteur essentiel de la productivité, de la compétitivité et de la transformation des services publics. Elle vise à accroître de manière significative l’adoption de l’IA dans l’ensemble de l’économie, à créer jusqu’à 250 000 emplois d’ici 2031 et à générer une croissance économique substantielle, tout en veillant à ce que l’IA soit développée et déployée de manière responsable.
Dans une perspective de protection de la vie privée et de gouvernance des données, cette stratégie prévoit :
- la modernisation de la législation fédérale en matière de protection de la vie privée, notamment par le renforcement des droits individuels et l’amélioration de la protection des données des enfants;
- de nouveaux cadres relatifs à la sécurité en ligne et aux risques liés à l’IA, visant à lutter contre des préjudices comme la désinformation, les hypertrucages et les risques algorithmiques;
- l’accent mis sur une IA fiable, notamment grâce à des mesures de transparence et à d’éventuels mécanismes de certification.
Nouvelle loi fédérale sur la sécurité en ligne
Le gouvernement fédéral a présenté le projet de loi C-34, la Loi sur les médias sociaux sécuritaires, qui prévoit notamment l’adoption de la Loi sur la sécurité numérique. Celle-ci vise à lutter contre le contenu préjudiciable, en particulier celui qui touche les enfants. Le projet de loi imposerait des obligations concernant trois types de services réglementés : les réseaux sociaux, les agents conversationnels utilisant l’IA et les services en ligne. Les exploitants de ces services réglementés seraient tenus, entre autres, de mettre en place des mesures de sécurité intégrées dès la conception et des dispositifs de vérification de l’âge pour accéder à du contenu pornographique, en plus de respecter certaines exigences relatives à la tenue de registres pour assurer la transparence. La loi imposerait également des restrictions d’âge relativement à certains services de médias sociaux afin d’empêcher les enfants de moins de 16 ans d’y créer des comptes. Une Commission canadienne de la sécurité numérique serait créée pour veiller au respect de la loi.
La Cour supérieure de justice de l’Ontario accorde 21,5 M$ pour intrusion dans l’intimité
La Cour supérieure de justice de l’Ontario a conclu (en anglais seulement) à la responsabilité d’un chirurgien esthétique et de son entreprise à l’égard d’un groupe d’environ 7 000 patients, en raison de l’utilisation de caméras de vidéosurveillance dans une clinique médicale.
La clinique avait installé des caméras de surveillance dans plusieurs de ses locaux, notamment à la réception, dans les salles d’attente, couloirs, locaux réservés au personnel et salles de consultation, de soins et de réveil ainsi que dans le bloc opératoire.
La Cour a estimé, entre autres, qu’en effectuant de la surveillance dans les espaces privés de la clinique à l’insu des patients et sans leur consentement, les défendeurs avaient fait preuve de négligence, avaient manqué à leurs obligations fiduciaires envers les patients et avaient commis un délit d’intrusion dans l’intimité.
Elle a accordé un montant total de dommages-intérêts de 21,5 millions de dollars pour intrusion dans l’intimité, ainsi qu’un million de dollars de dommages-intérêts punitifs. Étant donné que les actions pour responsabilité délictuelle et manquement aux obligations fiduciaires exigent la preuve d’un préjudice individuel, la Cour a demandé aux parties de proposer une procédure pour trancher ces demandes individuellement.
Première décision relative à la mise en œuvre des obligations découlant de la Loi 25
Dans cette décision, deux locataires potentiels ont contesté les pratiques de Gestion immobilière Vesta inc. en matière de collecte de renseignements personnels. La Commission d’accès à l’information du Québec (CAI) a constaté que la société recueillait des renseignements inutiles, dont des numéros d’assurance sociale. La CAI a réaffirmé le principe de minimisation de la collecte de données (seuls les renseignements strictement nécessaires peuvent être recueillis) et a également identifié des lacunes dans les politiques et pratiques de protection de la vie privée de la société. Dans ce contexte, la CAI a ordonné à la société de mettre fin à la collecte excessive de données et de mettre en œuvre et de publier des politiques de confidentialité conformes à la Loi 25, y compris une politique de confidentialité et un cadre de gouvernance, en plus de désigner un responsable de la protection des renseignements personnels.
Rapport quinquennal de la CAI
Le rapport quinquennal de 2026 de la CAI a été déposé à l’Assemblée nationale le 11 juin 2026. La Commission examine de près l’incidence des développements technologiques – en particulier de l’intelligence artificielle – sur la protection de la vie privée et l’accès à l’information. Le cadre juridique a évolué pour tenir compte de ces nouvelles réalités, notamment avec l’adoption de textes législatifs majeurs, tels que la Loi 25 et la Loi sur les renseignements de santé et de services sociaux. Intitulé Transparence et vie privée : protéger la démocratie à l’ère numérique, le rapport présente de nombreuses conclusions et 74 recommandations articulées autour de quatre grands axes : i) l’accès aux documents détenus par les organismes publics; ii) la protection des renseignements personnels; iii) la Loi sur les renseignements de santé et de services sociaux; et iv) les pouvoirs de la CAI.
États-Unis
Le Vermont adopte une nouvelle loi sur la protection de la vie privée
Le 29 mai 2026, l’assemblée législative du Vermont a adopté la loi sur la protection des données et la surveillance en ligne, la Vermont Data Privacy and Online Surveillance Act (en anglais seulement). La loi sera applicable à toute personne exerçant une activité commerciale dans l’État du Vermont ou proposant des produits ou des services aux résidents du Vermont et ayant recours au traitement de renseignements personnels à partir de certains seuils fixés par la loi. Le projet de loi a été promulgué par le gouverneur du Vermont le 16 juin 2026 et entrera en vigueur le 1er janvier 2028.
Union européenne
Rapport annuel de la CNIL
L’année 2025 a notamment été marquée par une hausse très importante des plaintes reçues, un montant total d’amendes inédit, mais aussi un record de notifications de violations de données.
Malgré des moyens contraints, la CNIL continue de s’adapter, notamment en réponse à la nouvelle réglementation sur l’IA, et élabore des outils novateurs pour le public, dont une application pour les adolescents.
G7 2026 : la CNIL accueille à Paris la Table ronde des autorités de protection des données et de la vie privée
Dans le cadre de la présidence française du G7 en 2026, la CNIL organisera à Paris, du 23 au 26 juin, la réunion annuelle de la Table ronde des autorités de protection des données, réunissant l’Allemagne, le Canada, les États-Unis, la France, l’Italie, le Japon et le Royaume-Uni ainsi que l’Union européenne. Cette rencontre interviendra dans un contexte international marqué par l’essor rapide des technologies numériques, notamment de l’intelligence artificielle, et par le renforcement des attentes en matière de protection des données personnelles.
Dans le cadre de la présidence française, plusieurs groupes de travail poursuivront leurs travaux tout au long de l’année et rendront compte de leurs avancées :
- Technologies émergentes
- Coopération en matière d’application du droit
- Libre circulation des données
Modèle de l’EDPB pour le signalement des atteintes à la protection des données
Le Comité européen de la protection des données (EDBP) a publié un modèle (en anglais) standard pour le signalement des atteintes à la protection des données afin de simplifier la mise en conformité avec le RGPD et assurer la cohérence à l’échelle de l’Union européenne. Ce modèle permet aux organisations et aux autorités de protection des données (APD) de structurer et d’harmoniser leurs rapports, en veillant à ce que tous les renseignements requis en vertu de l’article 33 du RGPD y figurent.
Le modèle est accessible pour consultation publique jusqu’au 5 août 2026, date après laquelle l’EDPB définira un calendrier pour sa mise en œuvre auprès de toutes les autorités de protection des données.
Pour ne rien manquer!
Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a récemment publié cet article qui pourrait vous intéresser :
Prix
Nous sommes ravis de vous annoncer que plusieurs de nos avocats et avocates figurent dans l’édition spéciale 2026 du Lexpert dans le domaine des technologies. Consultez la liste ici (en anglais).
Ces distinctions témoignent de la force de nos équipes dans de nombreuses spécialités, notamment les télécommunications et les médias, les technologies de l’information, les communications, les technologies émergentes, la protection des renseignements personnels et la cybersécurité et la propriété intellectuelle.
À propos du groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken
Notre pratique en protection de la vie privée et en cybersécurité est l’une de celles qui sont établies depuis le plus longtemps dans le marché. Notre équipe nationale de premier plan est composée de plus de 30 avocates et avocats et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le Règlement général sur la protection des données de l’UE et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets et qui bénéficient de la confiance de clients de tous les secteurs. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.