Depuis son adoption en avril 2016, le Règlement général sur la protection des donnéesRGPD ») de l’Union européenne est un sujet chaud, notamment en raison de sa portée élargie et des amendes substantielles auxquelles les contrevenants s’exposent. Près de deux mois après son entrée en vigueur et malgré la publication de nombreux articles sur le sujet, force est de constater que le RGPD est mal compris et soulève de nombreuses questions. Le RGPD fait l’objet de certains mythes tenaces (dont les cinq qui seront traités ci-dessous) qu’il convient de briser pour permettre aux entreprises et organisations canadiennes qui peuvent y être assujetties de s’engager sur la voie de la conformité.

1. Le RGPD ne s’applique qu’aux entreprises canadiennes qui ont un établissement en Europe

Le RGPD s’applique effectivement au traitement de données à caractère personnel dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire de l’Union européenne (« UE »). Dans la mesure où une entreprise canadienne a un établissement dans l’UE, le RGPD s’applique donc à ses activités de traitement relatives à cet établissement.

Cependant, le RGPD s’applique également au traitement de données à caractère personnel par des responsables de traitement ou des sous-traitants hors UE relativement :

  • à l’offre de biens ou de services à des personnes dans l’UE, qu’un paiement soit exigé ou non; ou
  • au suivi du comportement de personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE.

Ainsi, une entreprise canadienne n’ayant aucun établissement dans l’UE peut être assujettie au RGPD dans la mesure où le traitement effectué rencontre les critères pour son application extraterritoriale.

Au-delà de ces cas d’application directe, toute entreprise canadienne qui dessert des clients qui sont assujettis ou qui desservent eux-mêmes des entreprises assujetties en lien avec des activités au sein de l’UE, doit dès maintenant anticiper l’ajout d’exigences de conformité au RGPD comme condition contractuelle.

2. Puisque le Canada bénéficie d’une décision d’adéquation de la Commission européenne, les entreprises canadiennes qui se conforment aux lois canadiennes en matière de protection des renseignements personnels sont conformes au RGPD

Depuis 2001, la Loi sur la protection des renseignements personnels et les documents électroniquesLPRPDE ») bénéficie d’une décision d’adéquation de la Commission européenne. Cette décision constitue une reconnaissance par la Commission du fait que la LPRPDE assure un niveau de protection adéquat à l’égard des données à caractère personnel. Ainsi, il est possible de transférer des données personnelles de citoyens de l’UE vers le Canada, sans qu’il ne soit nécessaire de mettre en place des mesures de protection additionnelles, telles des clauses modèles ou des règles d’entreprise contraignantes.

Or, cette décision d’adéquation a été rendue en vertu de la Directive 95/46/CE sur la protection des données personnelles, laquelle a été remplacée par le RGPD. Il existe désormais des différences significatives entre la LPRPDE et le RGPD, notamment à l’égard des éléments suivants :

  • En vertu du RGPD, le consentement ne constitue qu’un fondement légal parmi d’autres pour justifier le traitement de données à caractère personnel. Les règles relatives au consentement sont également plus restrictives et requièrent un consentement explicite tandis que la LPRPDE reconnaît la notion de consentement implicite dans certaines circonstances.
  • Le RGPD octroie aux personnes concernées davantage de contrôle sur les données à caractère personnel qui les concernent. Ainsi, les citoyens européens ont le « droit à la portabilité des données » (soit le droit de recevoir les données à caractère personnel les concernant et qu’elles ont fournies à un responsable de traitement dans un format structuré, couramment utilisé et lisible par machine). Le RGPD reconnaît également le « droit à l’effacement », aussi connu comme le « droit à l’oubli » (soit le droit d’obtenir l’effacement de leurs données dans les meilleurs délais dans certaines circonstances).
  • Le RGPD incorpore la notion de « protection de la vie privée dès la conception » (privacy by design, en anglais), laquelle n’est pas reflétée dans la LPRPDE. Selon cette notion, les fabricants de produits, les prestataires de services et les producteurs d’applications doivent prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications.
  • Le RGPD octroie des pouvoirs d’exécution aux autorités de contrôle, notamment par l’imposition d’amendes administratives, contrairement au Commissaire à la vie privée en vertu de la LPRPDE.

Considérant ces différences significatives entre les deux régimes de protection de la vie privée, les organisations canadiennes assujetties au RGPD ne peuvent présumer de leur conformité au RGPD du seul fait de leur respect des principes énoncés dans la LPRPDE. Par ailleurs, il convient de souligner qu’au cours des quatre prochaines années, la décision d’adéquation dont bénéficie la LPRPDE sera revue par la Commission européenne à la lumière des règles plus contraignantes du RGPD. À moins que le Canada n’adopte certains amendements à la LPRPDE, la décision d’adéquation pourrait être remise en question.

3. Tant qu’il n’y a pas de violation de données, une contravention au RGPD est sans conséquence

Des amendes peuvent être imposées pour toute contravention du RGPD, et pas seulement en cas de violation ou d’atteinte à la confidentialité de données. Les contraventions au RGPD peuvent entraîner des amendes administratives coûteuses, lesquelles sont émises en fonction de la gravité de l’infraction :

  • Les infractions les plus graves (telles une violation des conditions applicables au consentement, violation des droits des personnes concernées, violation des transferts de données personnelles à un destinataire situé dans un pays tiers ou à une organisation internationale) sont passibles d’une amende pouvant atteindre 20 000 000 d’euros (soit environ 30 000 000 $ CA) ou, si le résultat est plus élevé, 4 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise.
  • Les infractions mineures (telle la violation de certaines obligations incombant au responsable du traitement ou au sous-traitant, comme celles relatives à la protection dès la conception ou la désignation d’un représentant dans l’UE) sont passibles d’une amende pouvant atteindre 10 000 000 d’euros ou, si le résultat est plus élevé, 2 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

4. Il faut rapporter tous les incidents de sécurité

En fait, il n’est pas nécessaire de rapporter tous les incidents de sécurité en vertu du RGPD. Le standard applicable à cet égard varie selon que l’on s’adresse à l’autorité de contrôle ou aux personnes concernées :

  • L’autorité de contrôle compétente doit être informée dans les meilleurs délais et, si possible, soixante-douze heures au plus tard après que le responsable du traitement ait pris connaissance d’une violation susceptible d’engendrer un risque pour les droits et libertés de personnes physiques.
  • Les personnes concernées doivent être informées dans les meilleurs délais lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés, sauf si des mesures de protection appropriées ont été mises en place pour assurer leur protection.

5. Le RGPD ne s’applique qu’au traitement de données à caractère personnel effectué dans un contexte B2C

Le RGPD ne fait aucune distinction entre le traitement effectué dans un contexte B2C (« business to consumer », c’est-à-dire dans le cadre d’une relation entre une entreprise et un consommateur) et dans un contexte B2B (« business to business », c’est-à-dire entre des entreprises uniquement). Tout traitement de données à caractère personnel est donc couvert, y compris celui qui est effectué entre deux entreprises. Soulignons, dans le cas d’une entreprise individuelle, que l’adresse courriel doit être traitée comme une donnée à caractère personnel. Les adresses courriel d’affaires qui permettent d’identifier un individu (par opposition à une adresse générique telle « info@compagnie.com ») constituent également des données à caractère personnel et doivent être traitées en conséquence.

Conclusion

Les différences entre le RGPD et le régime canadien de protection des renseignements personnels sont importantes. Considérant à la fois que les conséquences d’une non-conformité au RGPD peuvent être significatives et que la conformité au RGPD deviendra nécessairement une exigence contractuelle courante pour les cocontractants d’entreprises assujetties à son application, les entreprises et organisations canadiennes devraient revoir attentivement leurs procédés et politiques pour déterminer si elles sont assujetties au RGPD et, le cas échéant, s’assurer de mettre en place une stratégie de conformité adaptée au niveau de risque.

Consulter un conseiller juridique dans le cadre de cette démarche permettra de bien apprécier le champ d’application et les obligations imposées par le RGPD à votre organisation, d’éviter des erreurs potentiellement coûteuses et de répondre aux attentes de vos clients et partenaires d’affaires.