De nos jours, il va sans dire que l'information franchit les frontires nationales un rythme effrn et que bien peu d'obstacles freinent cet change. Ce flot d'information international circulant sans contrainte fait donc en sorte que les lois nationales sur la protection des donnes ont de plus en plus de rpercussions l'tranger. La rcente refonte des lois sur la protection des donnes dans l'Union europenne (l' UE ), qui aura des consquences sur les organisations canadiennes de toutes tailles et de tous types, est un excellent exemple de cette nouvelle ralit.

Q :Qu'est-ce que le RGPD?

R :Le Rglement gnral sur la protection des donnes (le RGPD ) a t adopt par le Parlement europen en avril 2016 et entrera en vigueur en mai 2018 (il remplacera la Directive 95/46/CE sur la protection des donnes qui est actuellement en vigueur dans l'UE). Si le RGPD vise harmoniser les protections applicables au traitement des donnes caractre personnel au sein de l'UE, il aura galement des rpercussions importantes sur les organisations canadiennes.

Ces dernires devront valuer dans quelle mesure le RGPD s'applique leurs activits et, s'il y a lieu, quels changements seront ncessaires pour se conformer cette nouvelle lgislation de l'UE.

Q :Le RGPD s'applique-t-il mon organisation?

R :Tout d'abord, les organisations canadiennes doivent dterminer si le RGPD s'applique leurs activits. La porte territoriale du RGPD ne se limite pas aux organisations ayant une prsence physique dans l'UE ni aux organisations qui ciblent activement ou intentionnellement des clients ou des utilisateurs dans l'UE. Mme sans tablissement dans l'UE, une organisation sera assujettie au RGPD si elle traite les donnes caractre personnel de personnes concernes qui se trouvent dans l'UE lorsque les activits de traitement sont lies : 1) l'offre de biens ou de services ces personnes, qu'un paiement soit exig ou non; ou 2) au suivi du comportement de ces personnes dans la mesure o il s'agit de leur comportement au sein de l'UE.

De nombreuses organisations canadiennes devront donc se conformer au RGPD, mme si elles n'exercent des activits dans l'UE que par inadvertance ou passivement. Pour leur part, les tiers sous-traitants de donnes caractre personnel de l'UE seront assujettis au RGPD mme s'ils n'ont pas d'tablissement dans l'UE.

Q :Si le RGPD s'applique aux activits de mon organisation, quelles sont mes options?

R :Si, en tant qu'organisation canadienne, vous estimez que vos activits sont vises par le RGPD, deux options s'offrent gnralement vous. La premire consiste restreindre vos activits de sorte qu'elles ne soient plus vises par le RGPD. Par exemple, vous pouvez offrir vos services uniquement aux adresses IP non relies l'UE ou choisir de ne pas traiter les donnes personnelles de personnes situes dans l'UE. Ces solutions pourraient s'avrer vos meilleures options si vos activits dans l'UE ne sont pas importantes ni stratgiques pour votre organisation. S'il n'est pas souhaitable (ou possible) pour vous de limiter vos activits de la sorte, vous n'avez pas d'autre option que de vous conformer aux modalits du RGPD.

Q :Quelles obligations le RGPD impose-t-il?

R :Le RGPD impose certaines obligations qui n'existent pas au Canada (ou qui sont plus svres que celles du Canada) et, tel qu'il est mentionn ci-dessus, ces obligations s'appliqueront de nombreuses organisations canadiennes.

Voici quelques-uns des aspects les plus importants (ou uniques) du RGPD :

Obligations applicables aux responsables du traitement et aux sous-traitants : Non seulement le RGPD impose des obligations envertu de la loi aux personnes qui dterminent les finalits et les moyens du traitement de donnes caractre personnel (les responsables du traitement ), mais il impose aussi des obligations directement aux personnes qui traitent des donnes pour le compte du responsable du traitement (les sous-traitants ). Cela diffre des lois canadiennes sur la protection des renseignements personnels, qui tendent ne s'appliquer directement qu'aux responsables du traitement, ces derniers devant ensuite s'assurer que leurs sous-traitants respectent les lois. Par exemple, le RGPD prvoit certaines restrictions expresses en matire de sous-traitance qui s'appliquent directement aux sous-traitants.

Consentement et autres motifs de traitement : Les donnes caractre personnel peuvent tre traites (recueillies, conserves, utilises, communiques ou effaces) conformment au RGPD uniquement lorsque certaines exigences sont satisfaites, par exemple lorsque la personne concerne a fourni son consentement. Le RGPD dfinit de faon assez troite le consentement et prcise que celui-ci doit tre donn par une manifestation de volont, libre, spcifique, claire et univoque [...] ou par un acte positif clair . Par consquent, le consentement ne peut tre obtenu en faisant appel un mcanisme de retrait du consentement. Si le consentement n'est pas obtenu, d'autres moyens peuvent tre utiliss pour traiter les donnes.

Scurit et protection de la vie prive ds la conception : Les responsables du traitement et les sous-traitants doivent tablir les mesures techniques et organisationnelles appropries afin de garantir un niveau de scurit adapt au risque , en tenant compte de divers autres facteurs noncs dans le RGPD. Il existe galement des obligations positives destines mettre en oeuvre la protection des donnes ds la conception et par dfaut .

Notification en cas de violation des donnes : la suite d'une violation de donnes caractre personnel , le responsable du traitement doit aviser l'autorit de contrle dans un dlai prcis. Lorsque la violation des donnes caractre personnel est susceptible d'engendrer un risque lev pour les droits et liberts des personnes physiques , la personne concerne doit galement tre avise dans les meilleurs dlais.

Traitement automatis : Le RGPD prvoit certaines dispositions concernant la prise de dcision automatise et le profilage (c'est-dire toute forme de traitement automatis de donnes caractre personnel visant valuer certains aspects personnels relatifs une personne physique ). Par exemple, pour ce qui est de la prise de dcision automatise, les personnes concernes possdent certains droits quant la notification, l'accs et au consentement; ils ont galement le droit d'mettre des objections.

Droit l'effacement ( droit l'oubli ) : Les personnes concernes ont le droit d'obtenir que leurs donnes caractre personnel soient effaces dans les meilleurs dlais dans certaines circonstances, notamment lorsqu'elles ne sont plus ncessaires au regard des finalits pour lesquelles elles ont t collectes (ce droit est toutefois limit, par exemple, la mesure dans laquelle l'information est ncessaire l'exercice des droits de libert d'expression et d'information et aux fins de la constatation, de l'exercice ou de la dfense de droits en justice).

Portabilit des donnes : Les personnes concernes devraient aussi avoir le droit, lorsque des donnes caractre personnel font l'objet d'un traitement automatis, de recevoir les donnes caractre personnel les concernant dans un format structur, couramment utilis et lisible par machine.

Delegue la protection des donnes obligatoire : Les responsables du traitement et les sous-traitants doivent dsigner un dlgu la protection des donnes si : 1) le traitement est effectu par une autorit publique ou un organisme public; 2) leurs activits de base consistent en des oprations de traitement qui exigent un suivi rgulier et systmatique grande chelle des personnes concernes; ou 3) leurs activits de base consistent en un traitement grande chelle de catgories particulires de donnes (les donnes qui rvlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques et les donnes relatives des condamnations pnales). Le dlgu la protection des donnes doit possder des connaissances spcialises de la lgislation et des pratiques en matire de protection des donnes , et le RGPD nonce les divers droits et obligations de cette personne exigeant qu'elle fasse preuve d'une grande indpendance.

Q :Quelles sont les exigences aux fins du transfert de donnes caractre personnel de l'UE l'extrieur de l'UE?

R :De la mme manire que la Directive sur la protection des donnes, les donnes caractre personnel de l'UE ne peuvent tre transfres l'extrieur de l'UE que dans certaines circonstances; par exemple lorsque le consentement a t obtenu des personnes concernes ou lorsque les garanties appropries ont t mises en place (comme des clauses contractuelles types).

Il est possible de transfrer des donnes caractre personnel un pays non membre de l'UE lorsque la Commission europenne constate par voie de dcision que le pays de destination assure un niveau de protection adquat , et la Loi sur la protection des renseignements personnels et les documents lectroniques (la LPRPDE ) du Canada est reconnue pour offrir ce niveau de protection adquat . l'heure actuelle, seuls 11 territoires ou pays se sont vu attribuer cette reconnaissance, le Canada jouit donc d'un avantage relativement unique cet gard. Bien que la situation puisse voluer dans l'avenir, pour l'instant, les donnes caractre personnel de l'UE peuvent tre transfres des organisations canadiennes assujetties la LPRPDE sans avoir se conformer d'autres exigences (sans avoir obtenir de consentement aux fins du transfert).

Les organisations canadiennes qui ne sont pas assujetties la LPRPDE (soit les organismes publics, les universits ou les organisations qui ne sont assujetties qu'aux lois provinciales sur la protection de la vie prive) ne peuvent se prvaloir de cette reconnaissance du niveau de protection adquat et doivent s'assurer d'obtenir le consentement aux fins du transfert ou mettre toute autre garantie approprie en place avant de transfrer des donnes caractre personnel de l'UE vers le Canada.

De plus, le caractre adquat de la LPRPDE ne facilite que le transfert l'extrieur de l'UE et ne rduit d'aucune faon l'obligation pour l'organisation de se conformer aux autres dispositions du RGPD.

Q :En tant qu'organisation canadienne, quelle devrait tre mon approche l'gard de la conformit?

R : Pour commencer, les organisations canadiennes devraient examiner leurs politiques et pratiques en place et trouver leurs lacunes par rapport aux exigences du RGPD. Par la suite, il sera possible d'valuer diffrentes stratgies et d'laborer un programme de conformit le plus efficace possible. Par exemple, il peut tre plus utile pour une organisation d'isoler les donnes qui sont assujetties au RGPD et de mettre en oeuvre un programme de conformit uniquement l'gard de ces donnes. Dans d'autres organisations, cela peut s'avrer impossible, la conformit devra alors tre mise en oeuvre de faon systmatique.

Il existe de nombreuses similitudes entre le LPRPDE et le RGPD, de sorte que les organisations canadiennes qui se conforment la LPRPDE auront une longueur d'avance pour ce qui est de la conformit au RGPD. Ceci tant dit, comme divers aspects du RGPD ne trouvent pas leur quivalent dans la LPRPDE ( savoir, les exigences relatives la portabilit des donnes, le dlgu la protection des donnes et la notification obligatoire en cas de violation des donnes (cette disposition n'tant pas encore entre en vigueur en vertu de la LPRPDE)), des efforts supplmentaires devront donc tre dploys dans ces domaines.

Enfin, le RGPD imposera une multitude de nouvelles obligations de nombreuses organisations canadiennes. Compte tenu de l'tendue de ces nouvelles obligations, les parties intresses au sein des organisations devront contribuer l'laboration d'un programme de conformit. Mme si mai 2018 semble encore bien loin, les organisations ont intrt entamer les dmarches au plus vite pour pouvoir mettre au point des processus solides et efficaces leur permettant de se conformer au RGPD, et ce, sans complication ni cots excessifs.