Actualités Marquantes en Protection des Données et CyberSécurité – Janvier 2025

Confidentialité et cybersécurité au Canada, aux États-Unis et en Europe

Ce bulletin mensuel est publié par le groupe de confidentialité et de cybersécurité de Fasken et présente des actualités et mises à jour importantes. Si vous avez des questions concernant les éléments de ce bulletin, n’hésitez pas à contacter un membre de notre équipe, qui se fera un plaisir de vous aider.

Canada

La Cour suprême de la Colombie-Britannique juge que la PIPA de la Colombie-Britannique s’applique aux organisations situées en dehors de la province

En décembre 2024, la Cour suprême de Colombie-Britannique a rendu son jugement dans l’affaire Clearview AI Inc. c. Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique. La Cour a décidé de maintenir la décision du Bureau du Commissaire à l’information et à la protection de la vie privée (OIPC) contre Clearview AI, une entreprise américaine spécialisée dans la technologie de reconnaissance faciale. Il est important de noter que la Cour a déterminé que la PIPA de la Colombie-Britannique s’applique à toute organisation ayant un “lien suffisant” avec la province, y compris celles qui collectent des données auprès de résidents de la Colombie-Britannique via Internet. Ainsi, toutes les organisations ayant un site Web accessible en Colombie-Britannique doivent être conscientes de leurs obligations sous la PIPA et s’assurer d’être en conformité.

Europe

Le Tribunal général ordonne à la Commission européenne de verser des dommages-intérêts à un utilisateur de son site ‘Conférence sur l’Avenir de l’Europe’ suite au transfert de ses données personnelles vers les États-Unis

Un citoyen résidant en Allemagne a porté plainte, affirmant que la Commission avait enfreint son droit à la protection de ses données personnelles lorsqu’il a visité le site de la Conférence sur l’Avenir de l’Europe en 2021 et 2022. Il s’était inscrit à l’événement en utilisant le service d’authentification EU Login de la Commission, en choisissant de se connecter via son compte de médias sociaux.

La Cour a jugé qu’en permettant l’inscription via un lien hypertexte vers les réseaux sociaux, la Commission a créé des conditions favorables au transfert de son adresse IP, ce qui représente des données personnelles, vers une entreprise située aux États-Unis. Au moment du transfert, il n’y avait pas de décision de la Commission confirmant que les États-Unis offraient un niveau adéquat de protection pour les données personnelles des citoyens de l’UE. De plus, la Commission n’a ni démontré ni revendiqué l’existence d’une protection appropriée, notamment une clause de protection des données standard ou une clause contractuelle. Ainsi, la Commission n’a pas respecté les conditions établies par le droit de l’UE pour le transfert des données personnelles par une institution, un organisme ou un bureau de l’UE vers un pays tiers.

Data Scraping : La CNIL sanctionne KASPR de 240 000 €

Le 5 décembre 2024, la CNIL a infligé une amende de 240 000 euros à KASPR, notamment pour avoir collecté les coordonnées d’utilisateurs de LinkedIn qui les avaient auparavant dissimulées. Cette décision repose sur plusieurs manquements.

• Non-respect de l’obligation d’avoir une base légale (Article 6 du RGPD)
• Non-respect de l’obligation de définir et de respecter une durée de conservation des données proportionnelle au but du traitement (Article 5-1-e du RGPD)
• Non-respect de l’obligation d’assurer transparence et information aux individus (Articles 12 et 14 du RGPD)
• Non-respect du droit d’accès des individus (Article 15 du RGPD)

Le CEPD adopte des lignes directrices sur la pseudonymisation

Dans ses lignes directrices, le Comité européen de protection des données (CEPD) clarifie la définition et l’applicabilité de la pseudonymisation et des données pseudonymisées, ainsi que les avantages de cette pratique.

Les lignes directrices fournissent deux clarifications juridiques importantes :

• Les données pseudonymisées, qui peuvent être attribuées à un individu par l’utilisation d’informations supplémentaires, restent des informations liées à une personne physique identifiable et constituent donc toujours des données personnelles.
• La pseudonymisation peut réduire les risques et faciliter l’utilisation d’intérêts légitimes comme base légale, tout en aidant à sécuriser la compatibilité avec l’objectif initial et en aidant les organisations à respecter leurs obligations concernant l’application des principes de protection des données ainsi que la sécurité.

À ne pas manquer !

Le groupe de confidentialité et de cybersécurité de Fasken a récemment publié plusieurs articles qui pourraient vous intéresser.

À propos du groupe de confidentialité et de cybersécurité de Fasken

Reconnu parmi les pratiques les plus anciennes et les plus respectées dans le domaine de la confidentialité et de la cybersécurité, notre équipe nationale de plus de 30 avocats propose une vaste gamme de services. Des questions complexes liées à la confidentialité et aux violations de données aux conseils sur le Règlement général sur la protection des données de l’UE, nous offrons des services de conseil juridique complets, faisant confiance à des entreprises d’assurance cybersécurité et à des entreprises du Fortune 500. Notre groupe est reconnu comme un leader dans le domaine, ayant reçu des distinctions telles que le prix PICCASO de l’équipe de confidentialité de l’année et la reconnaissance par Chambers Canada et Best Lawyers in Canada. Pour plus d’informations, veuillez visiter notre site web.