Nouvelles remarquables de Faskens : Confidentialité et cybersécurité au Canada et aux États-Unis (janvier)
Confidentialité et cybersécurité au Canada et aux États-Unis
Il s’agit d’un bulletin mensuel publié par l’équipe nationale de protection de la vie privée et de cybersécurité de Fasken. Les informations contenues dans ce document comprennent des actualités, des sujets, des discussions et des cas remarquables dans le paysage de la confidentialité et de la cybersécurité. Si vous avez des questions sur l’un des sujets abordés ici, veuillez contacter notre sympathique équipe Fasken de protection de la vie privée et de cybersécurité.
Les nouvelles marquantes de ce mois-ci
Directives du commissaire de l’Alberta sur l’IA
Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Alberta a publié des lignes directrices pour aider les petits dépositaires (tels que définis dans la Loi sur l’information sur la santé) gérer les risques et les étapes nécessaires pour respecter les obligations de diligence raisonnable lors de l’utilisation de l’IA. Bien qu’elles ne soient pas strictement applicables à de nombreuses organisations du secteur privé, ces lignes directrices illustrent néanmoins l’attention que les régulateurs accordent à l’IA et fournissent des conseils utiles aux organisations aux prises avec l’intégration d’outils d’IA et la gestion des risques en matière de confidentialité et de sécurité.
Les régulateurs canadiens de la protection de la vie privée lancent les principes de l’IA
Le 7 décembre 2023, le commissaire à la protection de la vie privée du Canada, Phillipe Dufresne, a annoncé le lancement d’un nouveau document de principes au début du Symposium international sur la protection de la vie privée et l’IA générative organisé par le Commissariat. Le document conjoint, Principes pour des technologies d’IA générative responsables, dignes de confiance et protégeant la vie privée, est un projet conjoint des organismes de réglementation concernés à travers le Canada. Il vise à aider les organisations qui développent, fournissent ou utilisent l’IA générative à appliquer les principes clés canadiens en matière de protection de la vie privée.
La loi européenne sur l’IA entre en vigueur en tant que premier règlement sur l’intelligence artificielle
Un grand pas en avant pour le premier règlement européen sur l’IA. Les nouvelles règles établissent des obligations pour les fournisseurs et les utilisateurs en fonction du niveau de risque lié à l’intelligence artificielle. Même si de nombreux systèmes d’IA présentent un risque minime, ils doivent être évalués. Les risques sont répartis comme suit
- Risque inacceptable : Risque inacceptable Les systèmes d’IA sont des systèmes considérés comme une menace pour les personnes et seront interdits (ex : identification biométrique et catégorisation des personnes)
- Risque élevé : les systèmes d’IA qui affectent négativement la sécurité ou les droits fondamentaux seront considérés comme à haut risque et seront divisés en deux catégories :
- Systèmes d’IA utilisés dans les produits relevant de la législation européenne sur la sécurité des produits. Cela inclut les jouets, l’aviation, les voitures, les appareils médicaux et les ascenseurs.
- Les systèmes d’IA relevant de domaines spécifiques tels que l’application de la loi, qui devront être enregistrés dans une base de données de l’UE.
- Tous les systèmes d’IA à haut risque seront évalués avant d’être mis sur le marché mais également tout au long de leur cycle de vie.
L’IA à usage général et générative telle que Chat GPT devra se conformer aux exigences de transparence
- Risque limité : les systèmes d’IA doivent se conformer à des exigences minimales de transparence qui permettraient aux utilisateurs de prendre des décisions éclairées. Après avoir interagi avec les applications, l’utilisateur peut alors décider s’il souhaite continuer à l’utiliser. Les utilisateurs doivent être informés lorsqu’ils interagissent avec l’IA. Cela inclut les systèmes d’IA qui génèrent ou manipulent du contenu image, audio ou vidéo, par exemple des deepfakes.
Le texte sera ensuite formellement adopté par le Parlement et le Conseil pour devenir une loi européenne. Cela devrait se produire début 2024.
Le régulateur européen se prononce sur le concept de décision individuelle automatisée
Dans Cour de Justice de l’Union européenne (CIJEU), 7 décembre 2023, C 634/21, arrêt Schufa (CURIA – Documents (europa.eu)), à propos du « scoring », la Cour a jugé qu’il doit être considéré comme une « décision individuelle automatisée » interdite en principe par la Règlement Général sur la Protection des Donnéesdans la mesure où les clients de la SCHUFA, comme les banques, lui attribuent un rôle déterminant dans l’octroi de crédits.
En effet, la Cour retrouve les trois conditions cumulatives pour identifier une telle décision : (i) l’existence d’une décision ; (ii) décision fondée uniquement sur un traitement automatisé, y compris le profilage ; (iii) la décision produit des effets juridiques concernant la personne concernée.
Le régulateur californien de la protection de la vie privée approuve une proposition législative exigeant que les navigateurs offrent des préférences de désinscription
Le 11 décembre 2023, la California Privacy Protection Agency a annoncé l’avancement d’une proposition législative exigeant que les fournisseurs de navigateurs incluent une fonctionnalité permettant aux utilisateurs d’exercer leurs droits à la vie privée via des signaux de préférence de désinscription.
Même si cette exigence ne concernerait pour l’instant que les consommateurs californiens, la reconnaissance des préférences de non-participation n’est pas un sujet nouveau et restera certainement dans l’esprit des régulateurs du monde entier.
Le régulateur européen détermine que la crainte d’une utilisation abusive des données constitue un « dommage non matériel »
Dans une décision répertoriée à CJUE, décembre 2023, C 340/21, VB contre Natsionalna agentsia za prihoite (CURIA – Documents (europa.eu), la Cour a jugé que la crainte éprouvée par une personne concernée à l’égard d’une éventuelle utilisation abusive de ses données personnelles par des tiers à la suite d’une violation de ce règlement est susceptible, en soi , de constituer un « préjudice moral » au sens de cette disposition.
Pénalités administratives pécuniaires de la LPRPS de l’Ontario
Depuis le 1er janvier 2024, le Commissariat à la protection de la vie privée de l’Ontario a le pouvoir discrétionnaire d’imposer des sanctions administratives pécuniaires dans le cadre des mécanismes d’application de la loi. Loi sur la protection des renseignements personnels sur la santé (LPRPS). Des pénalités allant jusqu’à 50 000 $ pour un particulier et 500 000 $ pour une organisation peuvent désormais être imposées dans le but d’encourager la conformité et d’empêcher les individus ou les organisations de tirer indirectement ou directement un avantage économique des violations de la LPRPS. L’IPC a publié des orientations sur ses nouveaux pouvoirs, indiquant de manière générale que ces dispositions d’application seront réservées aux violations plus graves nécessitant un effet de dissuasion et non aux erreurs involontaires. Parmi les exemples d’infractions proposées par le CIPVP qui sont susceptibles d’attirer des SAP figurent l’espionnage dans les dossiers des patients, les infractions à des fins de gain économique et le non-respect des droits d’accès des individus.
Le New Jersey adopte une loi sur la confidentialité
Le 8 janvier 2024, dernier jour de la session législative de 2023, la législature du New Jersey a approuvé l’adoption définitive d’un projet de loi complet sur la protection de la vie privée, le projet de loi 332 du Sénat. Le projet de loi a été promulgué par le gouverneur Patrick Murphy le 16 janvier. aux lois sur la confidentialité des consommateurs adoptées dans d’autres États américains et s’appliqueront aux contrôleurs et aux sous-traitants opérant dans le New Jersey ou ciblant les résidents du New Jersey qui satisfont à certains seuils d’applicabilité. Cela fait du New Jersey le 13e État américain à adopter une loi complète sur la protection de la vie privée, contribuant ainsi à la mosaïque de législations.
Dans le cas où vous l’avez manqué!
Le groupe Fasken Protection de la vie privée et cybersécurité a récemment publié les articles suivants qui pourraient vous intéresser : Projet de loi C-27 : Le gouvernement fédéral publie des modifications au projet de loi canadien sur l’IA | Connaissance | Fasken