Bien que le nouveau Règlement européen sur la protection des données personnelles (ou « GDPR », de son acronyme anglophone) demeure de la législation européenne, ses dispositions sont telles que de nombreuses entreprises canadiennes feraient bien d’y porter attention. Qu’on veuille se préoccuper de droit européen et/ou de droit concernant les renseignements personnels ou non, le GDPR viendra changer la donne, et ce, à l’échelle mondiale. Voici en gros de quoi il s’agit (bien que je sois pour l’instant loin d’en être un expert) :
En gros, la raison pour laquelle les entreprises canadiennes devraient prendre note de l’existence et des règles du GDPR, a d’abord trait aux règles d’application qu’il comporte. Ce règlement s’appliquera notamment à toute entreprise OÙ QU’ELLE SOIT qui traite avec les renseignements personnels de résidents européens. Ce faisant, dès qu’une entreprise gère des données personnelles d’un individu du territoire européen, le règlement peut s’appliquer. Pire encore, le GDPR contient une définition plus large que la loi canadienne en matière de ce qu’on peut considérer comme étant un renseignement personnel ou « traiter » un renseignement personnel.
Par exemple, le fait de bâtir un profil d’internaute (par exemple, pour mieux le cibler avec de la publicité ensuite) déclenchera généralement l’application du GDPR. La même chose sera d’ailleurs vraie si on recueille des données quant à un individu (même si on ne connaît pas son nom, etc.) et qu’on gère ces données en association dans le contexte de lui rendre des services ou de lui vendre éventuellement des produits. On en conviendra, cela ratisse large.
Les entreprises canadiennes voudront aussi prendre note de l’existence du GDPR à cause du montant des pénalités éventuelles qui pourront être imposées aux entreprises ayant violé la loi. En l’occurrence, le GDPR prévoit des pénalités qui pourront atteindre 2 % à 4 % du revenu annuel mondial de l’entreprise délinquante. Avec un tel calcul, aucune entreprise n’est susceptible de vouloir ignorer le GDPR, ne serait-ce que pour s’assurer qu’il ne s’applique pas elle.
Du point de vue du territoire, le GDPR s’appliquera aussi automatiquement dès que la société à l’origine de la cueillette ou son ou ses sous-traitants sont présents en Europe, ne serait-ce que par l’existence d’un bureau là-bas. Ainsi, si par exemple une société canadienne agit comme fournisseur de services informatiques d’une société européenne (en recevant des données personnelles), alors le GDPR trouvera application, du seul fait qu’une société européenne est impliquée. On le conçoit donc, les règles d’application étendent la portée du GDPR à passablement plus que les seules sociétés européennes !
Quand il s’applique, le GDPR s’avérera exigeant par rapport à la gestion des renseignements personnels. Cela comprendra, par exemple, le genre et la qualité des consentements qu’il faut obtenir des individus (et quand), le droit d’accès dont les individus disposeront, les systèmes qu’il faudra avoir mis en place et les formalités à respecter. On pourra notamment devoir nommer un représentant désigné sur le territoire européen, que les autorités pourront contacter à l’occasion pour interagir avec l’entreprise au sujet de l’application du GDPR, etc. Le GDPR comprendra notamment les droits suivants pour les individus :
- Droit d’accorder ou non son consentement clair et de le retirer en tout temps ;
- Droit de refuser ou s’opposer au traitement de ses renseignements ;
- Droit de refuser ou s’opposer à son profilage ;
- Droit de se faire oublier en retirant certaines de ses données de l’œil du public ; et
- Droit à la portabilité de ses renseignements personnels (par ex. quand on veut mettre un terme à la relation avec ce fournisseur) ; etc.
L’un des principes fondamentaux mis de l’avant par le GDPR est désigné comme le principe de « Protection de la vie privée dès la conception » (ou « privacy by design », en anglais), un principe dont on discute depuis une vingtaine d’années et que l’Europe est la première à adopter à grande échelle. (Le Canada parle d’ailleurs d’adopter aussi ce principe dans la prochaine mouture de notre loi nationale.) Ce principe exigera dorénavant qu’on limite la cueillette de données à ce qui se révèle réellement nécessaire et que la protection de ces données fasse partie intégrante des systèmes de l’entreprise, et ce, dès le premier moment d’existence du dossier. Pour vous donner une idée, ce principe reposerait sur sept fondements [tiré de Wikipédia] :
- Prendre des mesures proactives et non réactives, des mesures préventives et non correctives (prévoir et prévenir les incidents liés à l’atteinte de la vie privée avant même qu’ils ne se produisent) ;
- Assurer la protection implicite de la vie privée (faire en sorte que les données personnelles soient protégées de manière automatique avec un paramétrage par défaut des nouvelles technologies assurant un niveau de protection maximum des données sans que l’utilisateur ait à définir de paramètres spécifiques) ;
- Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques ;
- Assurer une fonctionnalité complète selon un paradigme à somme positive et non à somme nulle (assurer la protection de la vie privée sans nuire à la mise en œuvre d’autres fonctionnalités) ;
- Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements ;
- Assurer la visibilité et la transparence (chaque élément intégré aux systèmes lié à la protection des données personnelles doit rester visible et transparent en cas de vérification indépendante) ;
- Respecter la vie privée des utilisateurs.
Bref, faire ce que font aujourd’hui la plupart des entreprises (en énonçant des règles et en créant des systèmes à la pièce, bien après avoir constitué leurs dossiers) sera bientôt chose du passé, au fur et à mesure que les entreprises se conformeront à ce principe, au fil de son adoption dans de plus en plus de juridictions. Nul besoin de dire que cela représente un réel changement de paradigme.
Les sociétés européennes entendent parler du GDPR depuis un an ou deux, les sociétés nord-américaines commencent à peine. Quand elles réalisent l’ampleur de ce que requiert le GDPR et les pénalités éventuelles possibles, plusieurs dirigeants se montrent incrédules. Quatre pour cent de nos ventes mondiales – vraiment !? Oui, vraiment. Certaines sociétés nord-américaines en viennent d’ailleurs maintenant à la conclusion, après le choc initial, qu’il s’avère irréaliste pour elles de pouvoir se conformer aux dispositions du GDPR. Plusieurs ont ainsi déjà déclaré qu’elles cesseraient tout contact avec des résidents européens, question d’éviter l’application éventuelle du GDPR à leurs activités. Plusieurs PME canadiennes pourraient vouloir faire l’exercice et, comme résultat, pourraient bien envisager de prendre une mesure aussi radicale.
Le GDPR entre en vigueur le 25 mai 2018. Il devra ensuite être mis en œuvre par une adaptation des lois nationales de chacun des 27 pays de l’Union européenne. Plusieurs autres pays non européens amorcent aussi déjà leur réflexion pour tenter d’arrimer leurs lois respectives en matière de renseignements personnels avec le GDPR, notamment dans le but de pouvoir être considérés comme juridiction où la loi sur les renseignements personnels se montre équivalente au GDPR. Comme cela est arrivé à la fin des années 1990, il y a fort à parier que c’est la direction que prendra aussi le Canada d’ici quelques années. Même si le genre de choses que contient le GDPR ne semble pas pertinent pour tous au Canada actuellement, ces choses pourraient bien le devenir…