Ouvrir ou fermer le menu de navigation

La page est en cours de chargement...  

obtenir du financement

s'améliorer

créer des liens

se conformer

exporter

s'informer

Guides et outils

Règlement général sur la protection des données de l’Union européenne

Quelles répercussions sur les entreprises québécoises?

Le Règlement général sur la protection des données (RGPD) a été adopté par l'Union européenne (UE) et est entré en vigueur le 25 mai 2018.

Ayant pour but la protection des données personnelles des consommateurs en Europe, il touche l'ensemble des entreprises faisant du traitement de données personnelles de personnes physiques présentes sur le territoire européen.

Le RGPD s'applique peu importe la citoyenneté des personnes visées ou la situation géographique des entreprises qui effectuent ce traitement.

Une violation des termes de ce règlement peut entraîner une amende s'élevant jusqu'à 20 millions d'euros. Il est donc nécessaire de prendre en compte les nouvelles obligations formulées et de s'y conformer.

Pour les entreprises concernées, cela implique notamment :

  • de tenir un registre;
  • d'effectuer la nomination d'un délégué à la protection des données;
  • de mettre en place un système de protection des données personnelles approprié au niveau de sensibilité de celles-ci.

Cette fiche explicative vise à informer les entreprises québécoises faisant affaire sur le territoire européen des critères d'éligibilité et des mesures à prendre pour se conformer au RGPD.

De quoi s'agit-il?

Pour répondre aux nouveaux enjeux de sécurité que posent les avancées technologiques, le Parlement européen a adopté le 27 avril 2016 le Règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ce règlement est entré en vigueur le 25 mai 2018 pour l'ensemble des pays membres de l'UE.

Ses objectifs principaux sont d'homogénéiser le cadre légal des États membres et d'assurer une « application cohérente des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union »1.

Bien qu'il existe une loi canadienne sur la protection des renseignements personnels et les documents électroniques.  Ce lien mène à un site qui n'est peut-être pas soumis au standard gouvernemental sur l'accessibilité. qui partage des similarités avec le nouveau règlement européen, le Commissariat à la protection de la vie privée du Canada souligne que ces lois sont différentes et prévient qu'il n'est pas responsable d'assurer la conformité au RGPD2 pour les entreprises canadiennes.

Selon le nouveau règlement européen, chaque État membre doit créer au moins une autorité de contrôle indépendante3 chargée de s'assurer de l'application du RGPD4 et de veiller :

  • à sensibiliser et à améliorer la compréhension des risques, des règles, des garanties et des droits relatifs au traitement de données5;
  • à conseiller les autorités locales « au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement »6;
  • à enquêter et à adopter les mesures correctrices.

Pour assurer l'homogénéité de l'application du règlement, les opérations des autorités nationales sont encadrées par le Comité européen de la protection des données.

Celui-ci conseille la Commission européenne, entre autres sur toute question relative à la protection des données à caractère personnel, et il publie les lignes directrices et les recommandations pour l'application cohérente du règlement7.

Contrairement au précédent règlement sur les données personnelles (directive 95/46/CE), le RGPD ne nécessite pas de loi de transformation nationale pour prendre effet. En d'autres termes, depuis le 25 mai 2018, toute personne physique se trouvant sur le territoire de l'UE, peu importe sa nationalité ou son statut, peut invoquer le règlement devant la cour.

Qu'est-ce qu'une donnée personnelle?

On entend par donnée personnelle toute information permettant l'identification d'une personne physique. Cela peut prendre la forme :

  • d'un nom;
  • d'une adresse postale;
  • d'une adresse électronique;
  • d'un identifiant en ligne.

Les données plus sensibles comme l'ADN d'une personne ou de l'information médicale font aussi partie des données personnelles.

Au moment où les mesures de protection des données sont élaborées, il est nécessaire de prendre en considération le niveau de sensibilité des données. Ceci devrait permettre l'élaboration de solutions appropriées pour éviter les risques de fuites.

Qui est concerné?

Ce règlement concerne une grande partie des compagnies qui exercent leurs activités en sol européen, et ce, même si elles sont basées à l'extérieur de l'UE.

Par conséquent, toute entreprise et tout organisme québécois faisant le traitement de données d'individus (personnes physiques) se trouvant sur le sol européen peuvent être concernés, que les données personnelles soient hébergées au Canada, en UE ou ailleurs dans le monde.

Toute entreprise doit donc se conformer au règlement si elle effectue du traitement de données à caractère personnel et offre des biens et des services à des personnes physiques sur le territoire de l'UE, qu'il y ait vente ou non8.

Le règlement touche également les responsables du traitement des données ou les sous-traitants, tant québécois qu'européens, qui effectuent des activités de suivi du comportement dans le but d'établir un profilage d'une personne physique, « de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit »9.

Le fait que la page Web d'une entreprise soit accessible aux utilisateurs de l'UE ne constitue pas une base d'application de ce règlement. Toutefois, le règlement s'applique s'il est possible de démontrer qu'il y a intention de vente d'un bien ou d'un service sur le marché européen. Cette intention peut se manifester, par exemple :

Cependant, le RGPD ne s'applique pas au traitement de données par une personne physique dans le cadre d'une activité strictement personnelle ou domestique11.

Comment s'y conformer?

Chaque entreprise située en dehors de l'UE et visée par ce règlement doit nommer un « représentant dans l'Union ».

Cette personne, qui peut être un employé de l'entreprise (si cette entreprise est établie dans l'un des pays de l'UE) ou un représentant externe*, devient la personne-ressource faisant le lien entre l'entreprise concernée par le règlement, les autorités de contrôle nationales et les personnes physiques concernées.

Le RGPD précise ceci : « Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi12. »

Autrement dit, une entreprise peut n'avoir qu'un seul représentant situé dans l'un des États membres pour couvrir l'ensemble de l'UE.

Celui-ci a pour mandat de répondre aux autorités de contrôle et aux personnes concernées pour toute question relative au traitement des données. Ceci a pour but de s'assurer du respect du règlement13 .

Toutefois, il n'est pas nécessaire de nommer un représentant si le traitement est fait de manière occasionnelle, et qu'il n'implique pas un traitement à grande échelle14 des catégories particulières prévues aux articles 9 et 10 (profilage racial, sexuel, pénal, génétique, etc.)15. Cette dérogation s'applique aussi aux autorités et aux organismes publics.

De plus, toute autorité publique et toute entreprise :

  • faisant le traitement des données personnelles de personnes physiques au sein de l'UE;
  • réalisant un suivi régulier et systématique à grande échelle;
  • dont les activités touchent un des secteurs sensibles visés par les articles 9 et 10;

doit également désigner un « délégué à la protection des données ». Ceci est valable que ces organisations soient basées dans un des pays de l'UE ou ailleurs.

Ce délégué peut être un employé de l'entreprise ou une personne externe (consultant, représentant d'une firme spécialisée ou autre individu), et est responsable de mettre à jour le registre de traitement et les documents obligatoires pour que l'entreprise demeure en conformité avec le règlement (voir la section « L'imputabilité » portant sur le registre, ci-dessous) 16.

Il est aussi responsable de déceler les risques liés au traitement et de déterminer les moyens adéquats pour les éliminer17.

Concrètement, le représentant dans l'Union et le délégué à la protection des données pourraient être une même personne au sein d'une entreprise, à condition que cette personne se trouve sur le territoire européen (ce qui est obligatoire pour le cas du représentant dans l'Union) et que ses missions et ses tâches au sein de l'entreprise n'engendrent pas de conflits d'intérêts18.

L'imputabilité

Un registre19 doit être tenu :

  • par les entreprises de moins de 250 employés effectuant des traitements non occasionnels de données sensibles pouvant violer les droits et libertés individuelles, traitements définis par les articles 9 et 1020;
  • par les entreprises de 250 salariés et plus.

« Ce registre a pour vocation de lister de façon précise tous les traitements de données personnelles mis en œuvre par l'entreprise ou l'organisme concerné21. » Il s'agit d'un document de haute importance sur lequel les autorités nationales s'appuient pour effectuer le contrôle du traitement. Ce registre doit être communicable à toute personne qui en fait la demande22. Il peut être rédigé par toute personne travaillant au sein de l'entreprise.

Le registre doit inclure les informations suivantes :

  • l'identification des personnes visées;
  • le type de traitement;
  • le but du traitement;
  • le lieu où les données sont hébergées;
  • la durée de conservation des données;
  • les mesures de sécurité adoptées pour minimiser les risques répercussions sur la vie privée des personnes concernées par le traitement23.

La licéité

Les entreprises (ou organismes publics) concernées doivent s'assurer de la conformité du traitement des données personnelles en demandant le consentement des personnes visées par le traitement de leurs données personnelles.

Cette demande doit être claire, distincte des autres questions et compréhensible, et le consentement doit être donné librement24.

Concernant le traitement des données des enfants, il n'est licite que si la personne visée à qui l'on demande le consentement est âgée d'au moins 16 ans ou si les parents donnent leur consentement.

L'État membre peut modifier l'âge minimal de consentement, dans la mesure où l'âge inférieur n'est pas en dessous de 13 ans25.

Les entreprises doivent mettre en place un système de vérification de l'âge de la personne physique et conserver la preuve de consentement dans leurs registres26.

Tout traitement de données personnelles portant sur des catégories particulières est interdit. Cela comprend entre autres le profilage basé :

  • sur l'origine raciale;
  • sur l'opinion et les convictions politiques;
  • sur les données génétiques;
  • sur la vie et l'orientation sexuelles.

Ce traitement est licite seulement si la personne concernée a donné son consentement ou s'il s'agit d'une question de sauvegarde des intérêts vitaux de la personne physique, ou encore pour des motifs d'intérêt public27.

Sur une base volontaire, les entreprises qui le désirent peuvent obtenir une certification pour démontrer que le traitement de données qu'elles effectuent est conforme au nouveau règlement.

Cette certification est délivrée par l'autorité de contrôle indépendante de chaque État membre ou par un organisme désigné par celle-ci. Toutefois, la certification n'exempte pas les entreprises de se conformer au règlement.

À l'heure actuelle, plusieurs pays, comme la France, n'ont pas encore établi de processus de certification. Il est donc nécessaire pour l'entreprise de s'informer auprès des autorités nationales pertinentes sur les démarches nécessaires à l'obtention du certificat28.

Conséquences

Des amendes administratives peuvent s'élever jusqu'à 20 millions d'euros, ou à 4 % du chiffre d'affaires annuel mondial des entreprises, en cas de violation de l'article 58, paragraphe 2, points a) à h) et j)29.

Pour toute autre violation n'étant pas sujette aux amendes administratives, les États membres sont responsables de déterminer les sanctions proportionnelles et dissuasives à mettre en œuvre. C'est pourquoi il est fortement suggéré de s'informer auprès des autorités de contrôle indépendantes sur les sanctions propres aux États dans lesquels on fait affaire (voir la liste des contacts du National Data Protection Authorities.  Ce lien mène à un site qui n'est peut-être pas soumis au standard gouvernemental sur l'accessibilité.).

Pour éviter que l'entreprise soit sujette à de fortes sanctions, le responsable du traitement doit notifier toute violation du règlement à l'autorité nationale compétente, conformément à l'article 55, dans les 72 heures suivant la prise de connaissance d'une violation, à moins que celle-ci n'engendre aucun risque pour les droits et libertés des personnes physiques visées30.

Obtenir du soutien technique

Cette fiche explicative n'étant qu'un simple survol du règlement, il est important de contacter un avocat spécialisé dans le domaine numérique pour connaître les fondements légaux concernant spécifiquement votre entreprise.

De plus, il est recommandé de consulter un spécialiste en protection des données pour améliorer le traitement et déceler les risques de fuites de données. Les personnes intéressées trouveront ci-dessous une liste de documents utiles pour approfondir leur connaissance sur les droits et obligations contenus dans le nouveau règlement.

1. RGPD, par. 10.

2. Commissariat à la protection de la vie privée du Canada, Le nouveau règlement sur la protection des données aura des répercussions sur les entreprises canadiennes, 22 février 2018, https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2018/an_180222/.  Ce lien mène à un site qui n'est peut-être pas soumis au standard gouvernemental sur l'accessibilité..

3. Toutes ces autorités de contrôle ont été désignées. Cependant, toutes ne sont pas pleinement opérationnelles au moment où sont écrites ces lignes.

4. RGPD, article 51.

5. RGPD, article 57.

6. RGPD, article 57.

7. RGPD, article 71.

8. RGPD, article 3.

9. RGPD, par. 24.

* Ce « représentant » externe peut être un consultant, une entreprise spécialisée ou un individu. Nous observons un processus d'« autoproclamation » de représentants dans l'Union. La prudence est donc de mise dans le choix d'un représentant européen.

10. RGPD, par. 23.

11. RGPD, article 2.

12. RGPD, article 27 (3).

13. RGPD, article 27 (4).

14. La notion de « grande échelle » est évaluée en fonction 1) du nombre de personnes concernées, 2) du volume de données, 3) de la durée ou de la permanence du traitement, et 4) de l'étendue géographique du traitement (Romain de Monza, Guide pratique RGPD [Livre blanc], avril 2018, p. 31).

15. RGPD, article 27 (2a).

17. RGPD, article 32.

18. RGPD, article 34.

19. RGPD, par. 13.

20. RGPD, article 9 : « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »

21. Livre blanc, p. 38.

22. Livre blanc, p. 39.

23. Livre blanc, p. 39.

24. RGPD, article 7.

25. RGPD, article 8 (1).

26. Autorité de protection des données (Belgique), Préparez-vous en 13 étapes.

27. La liste complète est disponible dans l'article 9 de la RGPD.

29. RGPD, article 83.

30. RGPD, article 33.