Gare à toutes les entreprises quant à la nouvelle réglementation européenne en matière de renseignements personnels

Par Me Sébastien Lapointe, Holmested & Associés s.e.n.c.r.l./LLP
Gare à toutes les entreprises quant à la nouvelle réglementation européenne en matière de renseignements personnels

Le Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (titre abrégé, croyez-le ou non) vise à mettre la législation européenne à jour, notamment quant à la façon dont les entreprises gèrent et utilisent ces types de renseignements en ligne.

Compte tenu des très sérieuses pénalités prévues par ce nouveau règlement européen (qu’on surnomme, de son acronyme anglais, le « GDPR » pour General Data Protection Regulation), il s’avère pertinent de se questionner avant son entrée en vigueur prochaine. Que vise-t-il ? Que requiert-il ? Quel est le risque ?

À ce sujet, mentionnons que le texte du GDPR s’avère une pièce impressionnante de législation. Jetez un coup d’œil rapide au texte derrière le lien ci-haut. Même l’introduction du GDPR s’étend sur 173 paragraphes… c’est du sérieux.

1. Que vise le GDPR ?

À ce sujet, la première chose pertinente à mentionner quant à cette loi européenne, c’est qu’elle peut viser des sociétés européennes et des sociétés étrangères. L’article 3 du GDPR précise en effet qu’il s’appliquera non seulement aux sociétés européennes, mais aussi aux autres (ex. : sociétés canadiennes). Pas question de prétendre qu’on n’est pas une entreprise européenne pour s’en tirer, donc attention !

Le critère à appliquer pour appliquer le GDPR aura trait au traitement de données à caractère personnel relatives à des résidents européens. Si une entreprise d’ici le fait, par exemple, le GDPR s’appliquera dans la mesure où cela est lié :

  • à l’offre de produits/services en Europe, ou
  • au suivi du comportement d’Européens (par ex., du « profilage ») en sol européen.

Bien qu’il se révèle trop tôt pour pleinement comprendre la portée de ces règles, il est permis de penser que cela pourra s’appliquer dès qu’une entreprise accepte qu’un Européen interagisse avec elle (même par Internet) pour des produits/services, d’une façon qui génère des renseignements personnels, par exemple en créant un profil ou une fiche d’usager pour tel ou tel internaute. Cela vise-t-il, par exemple, une entreprise canadienne qui permet que des Européens accèdent à son site Web, même s’ils ne peuvent y acheter de biens ? Si l’entreprise le fait d’une façon qui lui permet d’identifier l’usager, oui, c’est à prévoir.

D’ailleurs, il s’avère pertinent de mentionner que l’analyse à faire pour parvenir à une réponse pourra dépendre des faits de chaque espèce (c.-à-d. les faits précis d’un dossier en particulier), donc qu’ils ne soient pas déterminés avant que le problème soit survenu, le cas échéant. Disons que c’est le genre de réglementation dont on doit à tout le moins être au courant, particulièrement si on conseille des entreprises dont les usagers ou clients peuvent être situés en Europe.

Bref, si une entreprise crée, manipule, gère ou utilise des données qui contiennent des renseignements personnels de résidents européens, attention à vous – posez des questions !

Disons qu’il s’avère clair que le GDPR comporte un risque substantiel de s’appliquer à de nombreuses sociétés canadiennes ayant une présence en ligne.

2. Que requiert le GDPR ?

Les entreprises auxquelles le GDPR s’applique doivent se conformer à toute une série d’obligations et de restrictions qui resserrent passablement la façon dont on pourra désormais obtenir, gérer ou communiquer des renseignements personnels. Le respect du GDPR exigera, semble-t-il, de sérieux efforts de toutes les entités qui espèrent s’y conformer, travaux déjà en cours pour les sociétés européennes qui sont à coup sûr visées. Pour les autres, les entreprises étrangères (comme au Canada) en sont actuellement à prendre connaissance de l’existence du GDPR et à évaluer si et comment elles devront tenter de s’y conformer.

Le GDPR exigera aussi notamment des sociétés étrangères (qui sont visées par lui) de nommer un représentant en Europe, aux fins de recevoir les avis concernant l’application du GDPR (comme les plaintes, etc.). Ce n’est cependant là qu’une formalité parmi une foule d’obligations qui incombent aux entreprises visées par ce règlement européen.

3. Quel risque implique le GDPR ?

Une autre caractéristique inquiétante du GDPR touche les pénalités qu’il prévoit pour les entreprises qui le violeraient. À ce sujet, le GDPR prévoit deux paliers de pénalités, à évaluer selon la gravité de l’infraction, une fois qu’elle est survenue. Dans chaque cas, le GDPR fixe la pénalité à un montant X ou un pourcentage des REVENUS MONDIAUX de l’entreprise pour l’année.

Au bas de l’échelle, le GDPR fixe les pénalités de faible ampleur à un montant de 10 000 euros ou 2 % des revenus annuels mondiaux de la société ayant violé le GDPR. Pour ce qui est des pénalités pour les cas les plus graves, on parle de 20 000 000 d’euros ou 4 % des revenus annuels mondiaux de la société ayant violé le GDPR.

Compte tenu de ce qui précède, le GDPR a de quoi en inquiéter plus d’un, qu’on représente des sociétés européennes ou non. Faites vos devoirs !

Également d’intérêt
© Thomson Reuters Canada Limitée. Tous droits réservés. Mise en garde et avis d’exonération de responsabilité.