[Photo: 123RF]
L’entrée en vigueur, en mai 2018, du Règlement général sur la protection des données (RGPD) dans l’Union européenne (UE) a fait couler beaucoup d’encre de ce côté-ci de l’Atlantique. Les entreprises canadiennes devraient-elles se faire du mauvais sang ?
« Auparavant, la législation sur la protection des données de l’UE s’appliquait seulement aux responsables des données localisés dans l’UE, alors que maintenant, si une entreprise située à l’extérieur de l’UE offre des biens et des services à des citoyens de l’UE ou piste leurs comportements en ligne, son traitement des données personnelles est assujetti au RGPD », explique Me Caroline Deschênes, associée du cabinet Langlois.
Les principes sur lesquels repose le RGPD ressemblent au droit canadien en la matière. Il faut traiter les données avec transparence, de sorte que les clients savent ce qui est colligé et traité. Une entreprise ne doit garder que les données nécessaires à ses objectifs et ces derniers doivent être limités, clairs et légitimes. Les données doivent être exactes et mises à jour régulièrement. La durée de conservation est restreinte et la sécurité et la confidentialité doivent être assurées. Le responsable des données doit être en mesure de démontrer que ces principes sont respectés.
Mais des nuances importantes existent. Le consentement implicite est possible au Canada pour colliger, utiliser et divulguer des données personnelles, mais pas dans l’UE, où il doit être explicite. Les citoyens européens exercent aussi un plus grand contrôle sur leurs données. Le règlement leur accorde, par exemple, un droit à la portabilité des données, c’est-à-dire qu’ils peuvent exiger de recevoir les données colligées sur eux dans un format structuré et lisible. Cela n’existe pas au Canada. Les citoyens européens possèdent aussi un droit à l’oubli, c’est-à-dire la possibilité de faire effacer certaines données personnelles.
Le Canada doit s’adapter
La législation canadienne sur le traitement de données personnelles pourrait bientôt être encore plus harmonisée avec son pendant européen. « Plus tôt cette année, un comité parlementaire suggérait de moderniser plusieurs aspects de la Loi sur la protection des renseignements personnels et les documents électroniques, et d’examiner si certains de ses aspects devraient aller dans le même sens que le RGPD », rappelle Me David Elder, du cabinet Stikeman Elliott. Même avant l’entrée en vigueur du RGPD, la possibilité pour une entreprise de faire transiter des données à l’extérieur de l’UE dépendait d’une évaluation par l’UE des lois et des règlements du pays où elles seraient traitées. Le Canada était considéré comme ayant une législation adéquate.
« Maintenant que la loi européenne a changé, il n’est pas clair si le Canada est encore jugé comme offrant un niveau satisfaisant de protection des données », constate Me Elder.
Il n’est pas question de copier point par point le RGPD, mais il faudra répondre à certains standards. Les grandes entreprises canadiennes, tout comme de nombreuses start-up dont la clientèle est mondiale dès le départ, auront intérêt à garder ces développements à l’œil.
