- with readers working within the Technology industries
- within Criminal Law topic(s)
- with Senior Company Executives, HR and Inhouse Counsel
Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres de ce groupe, qui se fera un plaisir de vous aider.
Les actualités à noter ce mois-ci
CANADA
Le Canada procédera à un examen de la loi fédérale sur la protection des renseignements personnels
Le 2 avril 2026, le Conseil du Trésor a annoncé qu’il procéderait à un examen de la Loi sur la protection des renseignements personnels fédérale, qui régit la façon dont les institutions gouvernementales recueillent, utilisent et communiquent les renseignements personnels au Canada. Il a préparé un document d’orientation contenant des propositions détaillées pour l’examen. Les commentaires et la rétroaction sur ce document seront recueillis jusqu’au 10 juillet 2026.
Des commissaires à la protection de la vie privée canadiens publient des conclusions conjointes sur ChatGPT d’OpenAI
Le 6 mai 2026, le commissaire fédéral et des commissaires provinciaux à la protection de la vie privée du Canada (Alberta, Colombie-Britannique et Québec) ont publié les conclusions de leur enquête conjointe sur les pratiques en matière de données d’OpenAI. Ils ont conclu que les modèles ChatGPT (GPT‑3.5 et GPT‑4) ne respectaient pas les obligations fondamentales liées à la protection de la vie privée et, plus précisément, que la collecte de renseignements personnels par OpenAI aux fins d’entraînement de l’IA était d’une portée trop large et disproportionnée, que les mécanismes de consentement étaient invalides et que les informations fournies manquaient de transparence. Ils ont également identifié des lacunes concernant les obligations relatives à l’exactitude, l’accès, la correction, la suppression, la conservation et la responsabilité.
En général, les conclusions démontrent que les organisations canadiennes restent responsables du respect des lois sur la protection de la vie privée en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels dans l’entraînement et le déploiement de systèmes d’IA générative.
Un commissariat à la protection de la vie privée impose une deuxième sanction administrative pécuniaire
Le 23 avril 2026, le Commissariat à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a émis sa deuxième sanction administrative pécuniaire en vertu de la loi sur la protection des renseignements personnels sur la santé de l’Ontario. Une préposée dans un hôpital a été tenue de payer une sanction de 2 000 $ pour avoir accédé de manière inappropriée à 436 dossiers de patients.
Lien : PHIPA DECISION 334 – Information and Privacy Commissioner of Ontario
Le Commissaire fédéral à la protection de la vie privée publie des documents d’orientation sur le contrôle de l’âge
Le 4 mai 2026, le Commissaire à la protection de la vie privée du Canada a annoncé la publication de documents d’orientation sur le contrôle de l’âge, qui précisent dans quels cas le contrôle de l’âge devrait ou doit être utilisé et les caractéristiques de conception ou les éléments liés à la protection de la vie privée à prendre en considération tant lors de la conception que de l’utilisation des systèmes de contrôle de l’âge. Les organisations qui exploitent des sites Web visés, les fournisseurs de services en ligne et les développeurs de solutions de contrôle de l’âge sont encouragés à prendre connaissance des documents d’orientation.
ÉTATS-UNIS
Le Colorado modifie sa loi sur l’intelligence artificielle
Le 12 mai 2026, l’assemblée législative du Colorado a adopté le projet de loi du Sénat 26-189 (en anglais), qui est une version modifiée de sa loi antérieure sur l’intelligence artificielle (Artificial Intelligence Act). Cette nouvelle loi, qui entrera en vigueur le 1ᵉʳ janvier 2027, se concentre davantage sur les technologies de prise de décisions automatisée. La définition de ces technologies est assez large : elle englobe les technologies qui traitent des données personnelles et utilisent des calculs pour générer des résultats (prédictions, recommandations, classifications, classements ou notes) qui sont utilisés pour prendre ou aider à prendre des décisions concernant des particuliers. Les organisations qui utilisent des technologies qui pourraient être considérées comme impliquées d’une certaine façon dans la prise de décisions devraient se familiariser avec la loi avant son entrée en vigueur afin d’assurer leur conformité.
Lien : SB26-189 Automated Decision-Making Technology | Colorado General Assembly
La California Privacy Protection Agency parvient à une entente avec General Motors à la suite d’atteintes à la vie privée
Le 8 mai 2026, la California Privacy Protection Agency et les procureurs du district de l’État ont annoncé être arrivés à un règlement (en anglais) avec General Motors concernant ses pratiques relatives aux données des consommateurs. L’organisme de réglementation s’est d’abord penché sur l’utilisation des données des consommateurs par General Motors lorsqu’il a examiné les pratiques de protection de la vie privée applicables aux véhicules connectés. Plus précisément, il a constaté que General Motors aurait vendu des données de consommateurs sans leur consentement et conservé des renseignements personnels plus longtemps que nécessaire. Cette affaire est la première à aborder le principe de minimisation des données dans la loi sur la protection de la vie privée des consommateurs de la Californie (CCPA; California Consumer Privacy Act), mais ce ne sera pas la dernière, selon la California Privacy Protection Agency. Les organisations qui exercent leurs activités en Californie et qui pourraient être assujetties à la CCPA devraient examiner leurs pratiques de minimisation et de conservation des données, en veillant à ce que toutes les données personnelles soient liées à un objectif commercial raisonnable et aient une période de conservation déterminée.
UNION EUROPÉENNE
Projet de lignes directrices de la Commission sur la classification des systèmes d’IA à haut risque
Le 19 mai 2026, la Commission européenne a publié un projet de lignes directrices pour aider les fournisseurs et les déployeurs de systèmes d’IA ainsi que les autorités de surveillance du marché à déterminer si un système d’IA est « à haut risque ». Le projet explique les concepts clés de la classification et fournit des exemples pratiques de systèmes qui devraient ou ne devraient pas être considérés comme à haut risque. Bien que les exemples couvrent de nombreux cas d’utilisation, ils ne sont pas exhaustifs et peuvent évoluer avec le temps.
Un système d’IA est classé à haut risque dans deux situations :
- Il est utilisé comme un composant de sécurité (ou est lui-même un produit) réglementé par les lois d’harmonisation de l’UE et nécessite une évaluation de la conformité par un tiers.
- Il correspond à l’un des cas d’utilisation à haut risque énumérés à l’annexe III du Règlement sur l’intelligence artificielle.
Lien : Projet de lignes directrices de la Commission sur la classification des systèmes d’IA à haut risque
L’EDPB a publié des lignes directrices sur le traitement des données à caractère personnel à des fins de recherche scientifique
La recherche scientifique est un objectif fondamental de l’UE. Elle favorise l’innovation, la compétitivité et la libre circulation des connaissances et des technologies, mais nécessite souvent le traitement de données à caractère personnel, ce qui a permis des avancées majeures, en particulier grâce à des progrès comme l’intelligence artificielle. Bien que ces développements créent de nouvelles occasions, ils présentent également des risques pour les droits fondamentaux et la vie privée. Le RGPD fournit un cadre qui soutient la recherche tout en assurant une utilisation responsable des données et en protégeant les particuliers. Pour clarifier son application, le Comité européen de la protection des données (EDPB) a publié des lignes directrices afin d’aider les chercheurs à bien s’y conformer.
Les lignes directrices abordent plus particulièrement les questions suivantes : limitation du stockage, consentement, intérêt public, intérêt légitime, attribution de la responsabilité, etc.
Elles feront l’objet d’une consultation publique qui se terminera le 25 juin 2026.
L’EDPB approuve les critères Europprivacy mis à jour et reconnaît ce schéma de certification comme un outil de transfert conforme au RGPD
Dans son avis 14/2026, l’EDPB estime que les critères de certification Europrivacy sont conformes au RGPD et les approuve. Il enregistrera le schéma de certification Europrivacy dans le registre public des mécanismes de certification et des sceaux de protection des données.
De plus, dans son avis 15/2026, l’EDPB reconnaît les critères de certification Europrivacy comme un sceau européen de protection des données à utiliser comme outil pour les transferts : les importateurs de données situés en dehors de l’Europe qui ne sont pas assujettis au RGPD peuvent désormais faire une demande dans le cadre du mécanisme de certification Europrivacy pour les transferts de données qu’ils reçoivent.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]
