Article écrit et gracieusement offert par:

Me Martin Aquilina, avocat spécialisé en droit international des affaires

Me Dustin Paterson, avocat spécialisé en droit des affaires

Les menaces de vol et de détournement des renseignements personnels existent depuis la genèse d’Internet, mais au fil du temps, ces menaces prennent de l’ampleur et revêtent une importance nouvelle. Des récentes révélations sur l’ingérence russe dans l’élection présidentielle américaine de 2016, aux rapports sur l’utilisation par Cambridge Analytica des données privées de Facebook pour cibler les utilisateurs avec du contenu, il est clair que les risques relatifs au détournement de renseignements personnels vont bien au-delà du vol d’identité ou de carte de crédit.

Pendant plusieurs années, les gouvernements du monde entier ont travaillé à s’adapter à ces menaces grandissantes en mettant en œuvre de nouvelles lois et en trouvant des moyens d’appliquer les lois existantes afin de faire face à ces menaces émergentes. L’un des exemples les plus significatifs de ces efforts est le très attendu Règlement général sur la protection des données (abrégé par le sigle « RGPD » ou le « Règlement »), qui a été approuvé par le Parlement européen le 14 avril 2016 et qui doit entrer en vigueur le 25 mai 2018. Le RGPD a été décrit comme le changement le plus important apporté à la réglementation sur la confidentialité des données durant les vingt dernières années. Il devrait avoir des conséquences étendues sur les entreprises impliquées dans la collecte des données, bien au-delà des frontières de l’Union européenne, lesquelles conséquences auraient des effets significatifs sur les entreprises canadiennes opérant à l’étranger.

Les principaux changements

L’objectif primordial du RGPD est d’étendre et d’harmoniser la réglementation sur la confidentialité des données dans l’ensemble de l’Union européenne. Pour ce faire, le RGPD adopte une approche très large de la réglementation de la vie privée, mettant en œuvre un ensemble de règles relatives à la protection de la vie privée pour un vaste champ d’application (à la fois géographique et thématique), et imposant des pénalités ou sanctions sévères en cas de leur non-respect.

Il existe trois différences clés entre le RGPD et la Directive de 1995 de l’Union européenne sur la protection des données que le RGPD remplace. Elles sont notamment : (1) les conséquences juridiques directes du RGPD; (2) son champ d’application élargi; et (3) des pénalités ou sanctions plus sévères en cas de non-conformité.

Les conséquences juridiques

Quant à ses conséquences juridiques, le statut de « règlement » du RGPD signifie qu’il est directement contraignant et applicable à n’importe quelle entité qui est opérationnelle dans son champ d’application et qui relève de sa juridiction. Alors que le prédécesseur du RGPD exigeait que chaque état membre adopte des lois distinctives afin de donner effet à la Directive de 1995 de l’Union européenne sur la protection des données, le RGPD, en revanche, sera juridiquement contraignant dans l’ensemble de l’Union européenne dès son entrée en vigueur.

Le champ d’application

Le champ d’application élargi du RGPD est peut-être le changement le plus important par rapport au régime juridique antérieur. Conformément à ses modalités et conditions, le RGPD s’appliquera à toute entité de collecte de données située au sein de l’Union européenne, et à toute entité basée dans l’Union européenne qui recueille ou traite les données personnelles des individus, même si cette entité n’est pas physiquement présente dans l’Union européenne en tant que telle. Cette portée étendue placera carrément les entreprises canadiennes qui recueillent ou traitent les renseignements personnels des utilisateurs au sein de l’Union européenne dans le champ d’application du Règlement, et ces sociétés canadiennes seront assujetties à des pénalités ou sanctions en cas de non-conformité.

Les pénalités ou sanctions

Le troisième changement majeur dans le RGPD est la mise en place de pénalités ou sanctions strictes en cas de non-respect du Règlement. Le RGPD impose un système de pénalités ou sanctions à plusieurs niveaux, allant des avertissements écrits à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’entité contrevenante, le montant le plus élevé étant retenu. Compte tenu de la gravité de ces mesures, il est dans l’intérêt de toute entreprise canadienne opérant au sein de l’Union européenne de prendre toutes les précautions possibles pour s’assurer qu’elle respecte pleinement le RGPD au moment de son entrée en vigueur.

 

Le cadre juridique du RGPD

Bien que les changements les plus significatifs soient ceux décrits ci-dessus, l’objectif principal du RGPD est de mettre en œuvre un cadre de règles et de principes relatifs à la vie privée dans l’ensemble de l’Union européenne.

À l’instar de nombreux cadres juridiques de protection de la vie privée (y compris le régime juridique québécois de la Loi sur la protection des renseignements personnels dans le secteur privé LPRPSP»), l’idée centrale du RGPD est que les entreprises obtiennent le consentement de toute personne dont elles recueillent ou traitent les renseignements personnels, et ce consentement doit satisfaire un certain nombre de critères, notamment qu’il soit explicite, donné librement et lié directement aux objectifs pour lesquels le renseignement personnel est recueilli.

Même si le consentement est le principe fondamental du RGPD, le Règlement impose également d’autres obligations. Celles-ci comprennent notamment :

(1) La notification des violations. En cas de violation des données, les entités qui collectent ou traitent des données (dénommées « contrôleurs » dans le RGPD) ont l’obligation de notifier toutes les personnes concernées et les autorités de réglementation connexes dans des délais précis (généralement dans les 72 heures suivant la constatation d’une telle violation).

(2) Le droit à la suppression des données. Les contrôleurs ont l’obligation de supprimer ou d’effacer les données personnelles d’un individu, suivant sa demande, si un événement particulier s’est produit. Par exemple, la liste des événements précis inclut le retrait du consentement par l’individu ou le fait que les données personnelles ne sont plus pertinentes ou nécessaires aux fins pour lesquelles elles ont été collectées.

(3) La confidentialité par conception et par défaut. Ce principe exige que les contrôleurs mettent en œuvre des mesures techniques et organisationnelles appropriées pour appliquer les principes de protection des données et intégrer les garanties nécessaires dans la collecte et le traitement des informations personnelles. En outre, ces entités doivent mettre en œuvre des mesures pour garantir que, par défaut, les seules données traitées sont celles qui sont nécessaires pour l’objectif spécifique en question.

(4) La nomination d’un responsable de la confidentialité des données. Les contrôleurs doivent nommer ou désigner un responsable de la protection des données (un « RPD ») chargé de surveiller, d’informer et de conseiller l’entité en ce qui concerne le respect et l’exécution des obligations en vertu du RGPD et d’autres lois pertinentes. Le RPD doit être nommé ou désigné en fonction de ses qualifications professionnelles et de sa connaissance spécialisée du droit et des pratiques en matière de protection des données et des renseignements personnels.

 

L’impact sur les entreprises canadiennes

Tel que mentionné ci-dessus, le vaste champ d’application du RGPD placera carrément de nombreuses entreprises canadiennes dans la mire du Règlement. La bonne nouvelle pour les entreprises québécoise est que, pour la plupart, la conformité au RGPD exigera probablement très peu d’efforts supplémentaires, car bon nombre des principes du RGPD chevauchent très étroitement ceux du régime québécois de protection des renseignements personnels du secteur privé en vertu de la LPRPSP, par exemple les exigences relatives au consentement, tandis que d’autres principes, comme le principe de la notification des violations de données, devraient entrer en vigueur du moins en vertu de la loi fédérale plus tard cette année. Cela dit, certaines dispositions du RGPD vont au-delà des exigences de la loi canadienne sur lesquelles les entreprises québécoises opérant dans l’Union européenne devront se pencher, comme la nomination d’un RPD.

Par conséquent, il incombe aux entreprises québécoises qui font des affaires au sein de l’Union européenne d’examiner attentivement leurs protocoles, politiques et procédures en matière de collecte de données conformément au RGPD et, le cas échéant, de consulter un professionnel pour s’assurer qu’elles soient pleinement en harmonie avec le Règlement avant son entrée en vigueur le 25 mai.

Cliquez ici pour lire le texte original en anglais.