Renseignements personnels : êtes-vous prêt pour la nouvelle réglementation européenne ?


Édition du 02 Juin 2018

Renseignements personnels : êtes-vous prêt pour la nouvelle réglementation européenne ?


Édition du 02 Juin 2018

Par Denis Lalonde

Les entreprises qui veulent profiter au maximum de l’Accord économique et commercial global entre le ­Canada et l’Union européenne ont tout intérêt à se conformer au nouveau RGPD. [Photo : Getty Images]

Les entreprises québécoises sont-elles prêtes à risquer une amende pouvant atteindre 20 millions d'euros (30 M$) ou 4 % de leur chiffre d'affaires annuel mondial ?

C'est ce qui pourrait arriver à celles qui ne se sont pas encore conformées au nouveau Règlement général pour la protection des données (RGPD), en vigueur dans l'Union européenne (UE) depuis le 25 mai.

Par le RGPD, la Commission européenne affirme vouloir accorder aux citoyens un meilleur contrôle sur leurs données à caractère personnel. Elle estime aussi que les entreprises de l'UE ne seront pas défavorisées par rapport à celles qui sont implantées sur un autre territoire.

De l'aveu de la Commission, les nouvelles normes de l'UE en matière de protection des données sont les plus strictes du monde. Qui plus est, ces normes exigent « des entreprises établies en dehors de l'UE qu'elles appliquent les mêmes règles que celles qui sont installées dans l'UE dans le cas où elles offrent des biens et des services dans le domaine des données à caractère personnel ou surveillent le comportement de personnes dans l'Union ».

Établir un diagnostic

Nicolas St-Sauveur, avocat en droit commercial au bureau de Québec de BCF, estime que les entreprises québécoises et canadiennes doivent en premier lieu faire un diagnostic de tout ce qui entoure la collecte, la rétention, l'utilisation, la modification et la suppression des données personnelles. « Pourquoi on parle du RGPD aujourd'hui ? C'est que c'est la loi la plus contraignante encadrant l'utilisation de données à caractère personnel. Si on s'y conforme, il y a de fortes chances qu'on satisfasse toutes les autres », dit-il.

M. St-Sauveur ajoute que la date du 25 mai était importante pour toutes les entreprises qui collectent des données en Europe, mais qu'il ne s'agit pas d'une date butoir. « J'ai discuté avec des collègues européens et tout le monde n'est pas prêt là-bas non plus. L'important, si une entreprise doit fournir des rapports aux autorités, sera de démontrer qu'elle a commencé à mettre différents mécanismes en place », explique-t-il.

La Commission nationale de l'informatique et des libertés (CNIL), autorité administrative qui veillera au respect du RGPD en France, a d'ailleurs publié sur son site web un guide en six étapes pour se conformer au règlement.

La tâche n'apparaît pas simple, mais les entreprises qui veulent profiter au maximum de l'Accord économique et commercial global entre le Canada et l'Union européenne (AECG), entré en vigueur en septembre 2017, ont tout intérêt à s'y conformer. « Pour commencer, les entreprises devraient établir un registre des données et aussi mettre en place, dans la mesure du possible, un programme de sensibilisation des employés à cette nouvelle loi et aux enjeux de protection des données personnelles », ajoute Danielle Miller Olofsson, avocate et chef de l'équipe de protection des données chez BCF.

M. St-Sauveur prévient que les entreprises qui tarderont à se conformer au RGPD s'exposeront à une amende salée, mais également à un risque de financement. Selon lui, les banques canadiennes pourraient exiger, avant d'octroyer un prêt, que l'entreprise montre patte blanche en ce qui concerne leur conformité au RGPD. « Le jour où les banques vont cesser de prêter, vous allez voir les entreprises se conformer en masse », dit-il.

Une démarche exigeante... mais payante

Sophie Deschênes-Hébert, avocate spécialisée en droit du marketing et en protection des renseignements personnels chez Legault Joly Thiffault, estime que les entreprises qui ont déjà fait les travaux nécessaires pour se conformer aux lois sur la protection des renseignements personnels en vigueur au Québec et au Canada ont déjà accompli une bonne partie du travail.

« C'est certain que la réglementation européenne est plus contraignante, mais les lois reposent toutes sur le principe du consentement. Les entreprises qui n'ont pas effectué les travaux pour se conformer aux lois en vigueur ici vont trouver la démarche plus exigeante », dit-elle.

District M, une entreprise de Montréal qui offre des plateformes qui permettent de faire le lien entre les annonceurs et les éditeurs et des services de publicité programmatique, dit avoir travaillé un peu plus de six mois à se conformer au RGPD. L'entreprise qui compte plusieurs clients en Europe se devait d'effectuer ces travaux. « Le travail des éditeurs est un peu plus complexe. Ce sont eux qui sont sur la ligne de front et qui doivent s'assurer de gérer le consentement des individus en ligne », explique Dominic Fortin, directeur des technologies de l'information chez District M.

M. Fortin souligne qu'un élément important prévu dans le règlement stipule que les éditeurs, comme tous les donneurs d'ordres, partageront la responsabilité d'une violation au RGPD d'un fournisseur ou d'un sous-traitant. « Ça comprend les sous-traitants, et aussi les sous-traitants des sous-traitants », précise Mme Deschênes-Hébert.

Un enjeu pour les PME

À la Fédération canadienne de l'entreprise indépendante (FCEI), on estime que 10 % des PME membres font affaire en Europe. « Je ne pourrais pas vous dire combien de nos membres sont en conformité avec le RGPD, mais il reste encore beaucoup de travail à faire », confie Martine Hébert, vice-présidente principale de l'organisation qui compte 110 000 membres. La FCEI entend demander au Commissariat à la protection de la vie privée du Canada de développer des outils pour aider les entreprises canadiennes à se conformer au règlement. « Ça va devenir un enjeu de plus en plus important à mesure que les sociétés du pays vont vouloir saisir des occasions qui sont liées à l'AECG entre le Canada et l'Europe », dit-elle.

Sur le site web du Commissariat, un document daté de février indique qu'il existe des principes fondamentaux communs entre le RGPD et la Loi sur la protection des renseignements personnels et les documents électroniques du Canada, tout en admettant que les lois sont « différentes ». Le Commissariat précise dans le même document qu'il n'est pas responsable d'assurer la conformité au RGPD.

Six étapes pour se conformer au RGPD

La ­Commission ­nationale de l’informatique et des ­libertés (CNIL), autorité administrative qui veillera au respect du ­RGPD en ­France, a publié sur son site web un guide en six étapes pour se conformer au règlement. En voici un résumé. 

Étape 1 : ­Nommer un délégué à la protection des données
Cette étape est obligatoire si vous êtes un organisme public ou une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle. 

Étape 2 : ­Cartographier vos traitements de données personnelles
Recenser de façon précise les traitements de données personnelles que vous mettez en œuvre. La tenue d’un registre des traitements vous permet de faire le point.

Étape 3 : ­Prioriser les actions à mener
Après avoir déterminé les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, définir les actions à mener pour vous conformer aux obligations actuelles et à venir. Par exemple, les sociétés doivent s’assurer que seules les données strictement nécessaires à la poursuite de leurs objectifs sont collectées et traitées. Elles doivent aussi définir la base juridique sur laquelle se fondent les traitements. 

Étape 4 : ­Gérer les risques
Si vous avez établi des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données. 

Étape 5 : Établir des processus internes
Ces procédures internes doivent garantir la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir (faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, ou changement de prestataire, par exemple).

Étape 6 : ­Documenter la conformité
Pour prouver leur conformité au règlement, les organisations devront constituer et regrouper la documentation nécessaire. Cela comprend entre autres les documents sur les traitements de données personnelles, sur l’information des personnes et sur les contrats qui définissent les rôles et les responsabilités des acteurs qui ont accès aux données, comme les employés et les ­sous-traitants.

Source : ­CNIL

À la une

À surveiller: Dollarama, MTY, et Magna

Il y a 44 minutes | Dominique Beauchamp

Que faire avec les titres de Dollarama, MTY et Magna?

Les nouvelles du marché

Mis à jour il y a 10 minutes | Refinitiv

L'Angleterre en récession technique, Apple en chute et une baisse de revenu pour BlackBerry.

Votre équipe aussi peut maîtriser l'art de l'empathie

RHÉVEIL-MATIN. «Maintenant, en tant qu'employeur, on doit mériter le déplacement».