Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne (mars 2026)

Protection des renseignements personnels et cybersécurité au Canada, aux États-Unis et dans l’Union européenne

Ce bulletin mensuel a été préparé par le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken pour vous présenter les actualités et les développements récents qui ont attiré notre attention. Si vous avez des questions sur l’un des sujets abordés dans ce bulletin, veuillez communiquer avec l’un des membres de ce groupe, qui se fera un plaisir de vous aider.

Canada

Le projet de loi fédéral C-22 a été déposé au Parlement

Le 12 mars 2026, le gouvernement du Canada a déposé le projet de loi C-22, la Loi concernant l’accès légal, qui remet de l’avant le cadre proposé par le gouvernement fédéral en matière d’accès légal, à la suite du retrait de dispositions similaires du projet de loi C 2. Malgré le resserrement de certains pouvoirs d’accès sans mandat et l’ajout de mécanismes de surveillance, le projet de loi aurait pour effet d’accroître l’accès à l’information pour les organismes d’application de la loi et de sécurité nationale et d’imposer de nouvelles exigences réglementaires et techniques aux fournisseurs de services de télécommunication et aux autres fournisseurs de services électroniques.

Pour une analyse détaillée du projet de loi C 22 et de ses répercussions, consultez notre bulletin récent sur le sujet.

Le CPVP rend une nouvelle décision sur la conservation et la dépersonnalisation

Le 5 mars 2026, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a publié un nouveau rapport sur ses conclusions d’enquête sur le traitement des renseignements personnels par les Compagnies Loblaw limitée (« Loblaw ») à la suite de la suppression de comptes par des membres du programme de fidélité PC Optimum.

Selon les constats du CPVP, malgré ses processus en place pour la réception des demandes de suppression de comptes, Loblaw a traité certaines de ces demandes dans un délai déraisonnable. Bien que cet aspect des plaintes ait été résolu après que Loblaw a mis en œuvre certaines améliorations, le CPVP a souligné que les organisations doivent être en mesure de donner efficacement et rapidement suite aux plaintes en matière de protection de la vie privée déposées par les intéressés.

Plus important encore, le CPVP a conclu que Loblaw n’a pas démontré que les renseignements personnels conservés après la fermeture des comptes étaient suffisamment dépersonnalisés. La décision souligne que la dépersonnalisation doit éliminer toute possibilité sérieuse de réidentification et exige une évaluation continue des risques à mesure que les technologies évoluent. Elle fait référence à l’enquête menée par le CPVP en 2023 au sujet de la collecte et de l’utilisation de données dépersonnalisées sur la mobilité par l’Agence de la santé publique du Canada. Le CPVP a recommandé à Loblaw de supprimer les données conservées ou de faire évaluer ses pratiques de dépersonnalisation par un tiers indépendant.

Déclaration commune mondiale sur la protection de la vie privée et les images générées par l’IA

Le 23 février 2026, le CPVP, aux côtés d’environ 60 organismes internationaux et nationaux de protection des données et de la vie privée, a publié une déclaration commune portant sur les implications en matière de vie privée d’images et de vidéos générées par l’intelligence artificielle (« IA »).

La déclaration met en évidence des principes fondamentaux de protection de la vie privée que devraient suivre les organisations concevant ou mettant en œuvre des systèmes de génération de contenu à l’aide de l’IA. Elle souligne particulièrement la nécessité de protéger les individus, y compris les enfants, contre les préjudices potentiels liés à la création et à la diffusion de contenu non consensuel, notamment les images intimes générées par l’IA.

Les signataires encouragent les organisations à collaborer de façon proactive avec les organismes de réglementation et à intégrer des mesures de protection rigoureuses à l’étape de conception de ces technologies. Ils insistent sur le fait que les systèmes d’IA générant du contenu visuel devraient être conçus et utilisés d’une manière qui respecte la vie privée, la dignité, la sécurité et les autres droits fondamentaux des individus.

La déclaration commune témoigne également de l’attention accrue que les organismes de réglementation doivent porter aux risques posés par les outils d’IA générative, en particulier lorsque ces technologies pourraient faciliter la création d’images trompeuses ou nuisibles sans le consentement des personnes représentées.

États-Unis

La Maison-Blanche publie un décret sur la cybercriminalité et sa stratégie de cybersécurité

Le 6 mars 2026, la Maison-Blanche a publié un décret intitulé « Combating Cybercrime, Fraud and Predatory Schemes Against American Citizens » (en anglais seulement) (Lutter contre la cybercriminalité, la fraude et les stratagèmes prédateurs à l’encontre des citoyens américains), conjointement avec la stratégie de cybersécurité de l’administration Trump. Le décret est clair : la cybercriminalité est omniprésente et le gouvernement doit remédier à la situation. Il présente une stratégie fédérale pour lutter contre les groupes responsables de cybercrimes, notamment les rançongiciels, la compromission de courriels professionnels et les fraudes en ligne, et demande aux organismes fédéraux de coordonner leurs efforts en matière d’application de la loi et de poursuites à cet effet. En plus du décret, la nouvelle stratégie de cybersécurité précise clairement l’attention que le gouvernement des États-Unis porte à la prévention de la cybercriminalité et à la protection des systèmes essentiels.

La Federal Trade Commission publie un énoncé de politique concernant les technologies de vérification de l’âge et la conformité avec la COPPA

Le 25 février 2026, la Federal Trade Commission (« FTC ») a publié un énoncé de politique (en anglais seulement) indiquant qu’elle n’appliquerait pas de mesures d’exécution au titre de la Children’s Online Privacy Protection Rule à l’endroit des sites Web et des services en ligne qui recueillent, utilisent et communiquent des renseignements personnels uniquement pour déterminer l’âge d’un utilisateur au moyen de technologies de vérification de l’âge, sous réserve que ces entreprises respectent certaines conditions. L’énoncé de politique présente ces conditions pour toute entreprise voulant savoir si elle est admissible à cette exemption.

Une société de médias sportifs reçoit une amende de 1,1 M$ de la California Privacy Protection Agency pour violations de la vie privée

Le 3 mars 2026, la California Privacy Protection Agency (« CPPA ») a rendu sa décision (en anglais seulement) à l’encontre de PlayOn Sports concernant des infractions aux lois californiennes sur la protection de la vie privée par la société. Des écoles secondaires aux États-Unis utilisent la plateforme de PlayOn pour vendre des billets numériques pour des événements sportifs, des spectacles de théâtre, des soirées dansantes et des bals de fin d’année. Dans cette décision, la CPPA impose une amende de 1,1 million de dollars américains à PlayOn et exige que la société modifie ses pratiques commerciales afin de se conformer aux lois sur la protection de la vie privée. On reprochait notamment à PlayOn d’obliger les utilisateurs à autoriser le suivi sur la plateforme, sans possibilité de refus adéquat. Les renseignements concernant la visite d’un utilisateur sur la plateforme servaient ensuite à des fins de publicité ciblée. La CPPA a déterminé que ces pratiques n’étaient pas conformes aux lois sur la protection de la vie privée. Les entreprises doivent connaître leurs obligations en vertu des lois californiennes sur la protection de la vie privée lorsqu’elles exercent leurs activités dans cet État.

Union européenne

Précision sur les concepts d’anonymisation et de pseudonymisation en France

La décision no 498628, rendue le 13 février 2026 par le Conseil d’État français, précise et réaffirme un principe fondamental : la pseudonymisation ne rend pas les données anonymes.

Selon le Conseil d’État, « une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, [c’est-à-dire que cette] identification [est] irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre ».

Dans le cas présent, avec les données disponibles aux demandeurs, il était possible « de retracer des parcours de soins et d’individualiser des clients et leurs pathologies. Une telle individualisation dans l’ensemble des données n’a [...] nécessité que peu de temps et peu de moyens, notamment l’utilisation d’un logiciel tableur d’usage courant et la nomenclature communiquée par les sociétés afin d’associer les codes alphanumériques à des informations sur le patient », aux actes médicaux prodigués et aux traitements prescrits. Les exemples cités dans la délibération contestée démontrent que « le risque de réidentification est élevé, notamment lorsque les traitements prescrits sont rares et que le recours à des informations détenues par ailleurs par les sociétés, comme les données identifiant les professionnels de santé, ou le recours [...] à des données tierces, notamment des données de géolocalisation, sont susceptibles d’accroître ce risque de réidentification ». De plus, le fait que « les sociétés ne procèdent elles-mêmes à aucune inférence de données est sans incidence sur l’appréciation des possibilités d’identification des personnes physiques permises par ces données ».

Autrement dit, à la suite d’« une évaluation concrète du risque de réidentification des données, [il a été] établi qu’il était possible de lever le pseudonymat [...] par des moyens raisonnables ».

Pour ne rien manquer!

Des membres de notre groupe Protection des renseignements confidentiels, vie privée et cybersécurité ont récemment publié ces articles qui pourraient vous intéresser :

• Le projet de loi C-22 ramène la question de l’accès légal au Parlement après la tentative infructueuse avec le projet de loi C-2

• Traverser 2026 : Tendances clés du secteur des technologies (bientôt disponible en français)

Où nous trouver

Les membres de notre groupe Protection des renseignements personnels, vie privée et cybersécurité prendront la parole ou assisteront à l’événement suivant au cours des prochains mois. Au plaisir de vous croiser lors de cet événement!

• Sommet sur les cyberrisques de NetDiligence, Toronto – les 8 et 9 avril 2026

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.