Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne (janvier 2026)

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l'Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l'un des sujets abordés dans ce bulletin, veuillez communiquer avec l'un des membres de ce groupe, qui se fera un plaisir de vous aider. 

Canada

Examen de l'utilisation de l'IA par les organismes fédéraux de sécurité

L'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a entrepris un examen (en anglais seulement) de la mise en place et du contrôle des outils d'intelligence artificielle par les organismes fédéraux de sécurité, y compris les systèmes utilisés pour la traduction de document et la détection de logiciels malveillants. L'examen évaluera si les cadres de gouvernance actuels traitent adéquatement les risques émergents et comment l'IA est définie, gérée et contrôlée au sein des organismes.

À cet égard, l'OSSNR a avisé plusieurs ministres fédéraux ainsi que les dirigeants du SCRS, de la GRC et du Centre de la sécurité des télécommunications Canada, et pourrait exiger des documents, réaliser des entrevues ainsi que des inspections techniques dans le cadre du processus d'examen. Les conclusions devraient permettre d'identifier les lacunes en matière de surveillance et d'orienter les futures approches politiques relatives à l'utilisation de l'IA dans le domaine de la sécurité nationale.

États-Unis

New York adopte une loi sur la transparence de l'IA inspirée de celle de la Californie pour les grandes entreprises du secteur de l'IA

Le 19 décembre 2025, la gouverneure de New York, Kathy Hochul, a signé la Responsible AI Safety and Education Act  (la « Loi »)(en anglais seulement) sur la sécurité et l'éducation en matière d'intelligence artificielle responsable. Cette loi, qui entrera en vigueur le 1er janvier 2027, est calquée sur la Transparency in Frontier Artificial Intelligence Act, loi californienne sur la transparence dans le domaine de l'intelligence artificielle de pointe, et impose aux développeurs d'IA dont le chiffre d'affaires dépasse 500 M$ US l'obligation d'adopter des protocoles de sécurité et de partager des renseignements avec les autorités de réglementation. La Loi oblige également les développeurs à signaler les incidents liés à la sécurité dans les 72 heures et prévoit des sanctions financières pouvant atteindre 30 M$ US en cas d'infraction.

Union Européenne

La CNIL lance l'application mobile « FantomApp » pour une utilisation plus sécuritaire des médias sociaux par les mineurs

Pour aider les jeunes de 10 à 15 ans à utiliser les réseaux sociaux de manière plus sûre et responsable, la Commission nationale de l'informatique et des libertés (CNIL), l'autorité française de protection des données, offre une application appelée « FantomApp ». Neuf autorités européennes de protection des données ont manifesté leur intérêt et leur soutien pour ce projet, et l'application sera traduite dans la langue de chaque pays partenaire.

Cette application permet aux utilisateurs :

• d'accéder à des outils et à des tutoriels pour protéger leurs comptes et nettoyer leur présence en ligne (p. ex. comment flouter une photo);
• d'obtenir des conseils et des contenus visant à les aider en cas de problème (p. ex. comment supprimer du contenu ou quoi faire en cas de piratage).

Cette application gratuite et sécurisée ne collecte aucune donnée (uniquement l'adresse IP, nécessaire au fonctionnement de l'application, et le type d'appareil utilisé).

Renouvellement des décisions d'adéquation du Royaume-Uni

Le 21 décembre 2025, la Commission européenne a adopté deux nouvelles décisions d'adéquation pour le Royaume-Uni – l'une en vertu du règlement général sur la protection des données (RGPD) et l'autre en vertu de la directive en matière de protection des données dans le domaine répressif. À titre de rappel, des clauses de caducité avaient été introduites dans chacune des décisions précédentes, lesquelles sont arrivées à échéance le 27 décembre 2025.

Conformément aux nouvelles décisions de la Commission européenne, les transferts de données personnelles de l'Union européenne vers le Royaume-Uni peuvent se poursuivre sans encadrement particulier. Par ces décisions, la Commission européenne confirme que ces données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti en vertu du RGPD.

La CNIL condamne FREE MOBILE et FREE à une amende de 42 millions d'euros (France)

Le 13 janvier 2026, la CNIL a rendu deux décisions de sanction à l'encontre des sociétés FREE MOBILE et FREE, leur imposant respectivement des amendes de 27 et 15 millions d'euros, compte tenu du caractère inadapté des mesures prises pour assurer la sécurité des données de leurs abonnés.

En octobre 2024, un attaquant a réussi à infiltrer le système informatique des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d'abonnés, dont les coordonnées bancaires (IBAN). À la suite de nombreuses plaintes, la CNIL a réalisé un contrôle qui a mis en évidence des manquements à plusieurs obligations prévues en vertu du RGPD, en particulier le défaut d'assurer la sécurité des données personnelles.

Pour ne rien manquer!

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken a récemment partagé l'événement suivant qui pourrait vous intéresser.

• Interactive Guide: Targeted Advertising Regulations in Canada | IAB Canada (en anglais seulement)

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.