Photo by Christian Wiediger on Unsplash

Plus que six mois avant l’entrée en vigueur du nouveau Règlement général sur la protection des données

L’Europe adoptait l’an dernier une nouvelle loi en matière de renseignements personnels et qui entrera en vigueur au printemps 2018 : le Règlement général sur la protection des données (ou « RGPD »). Le RGPD viendra remplacer l’ensemble de règles européennes adoptées il y a déjà plus de vingt ans.

Le RGPD vient créer des règles qui s’appliqueront dans l’ensemble des vingt-huit (28) États membre de l’Union européenne. Le nouveau règlement viendra ainsi mettre fin à un système dans lequel chaque pays disposait de ses propres règles et exigences; jusqu’à maintenant, les lois touchant les renseignements personnels en Europe étaient loin d’être uniformes. Outre l’avantage d’uniformiser le tout, le RGPD viendra moderniser les règles européennes, en créant au passage des sanctions non-négligeables pour les entreprises qui font défaut de se plier aux règles européennes.

Fait intéressant pour les entreprises d’ici, les règles du RGPD s’appliqueront non-seulement aux sociétés européennes mais aussi à d’autres, dont celles qui gèrent soit les données d’entreprises européennes ou des données ayant trait à des Européens. Il y a donc un aspect d’application extraterritoriale très réel à ce règlement et que les entreprises canadiennes feraient bien de comprendre dès maintenant. D’ailleurs, le règlement pourra trouver application même dans certains cas où une entreprise ne fait que courtiser ou tenter d’offrir ses produits et services à des Européens -ce n’est donc pas qu’une question de faire des ventes en Europe. Le règlement s’appliquera même lorsqu’une entreprise étrangère ne fait que dresser ou utiliser le profil d’Européens, afin de leur servir de la publicité adaptée à leur profil, par exemple.

Un des changements qu’implique la mise à jour qu’apporte le RGPD touche la forme que devra prendre le consentement des individus dont on peut valablement gérer ou utiliser les renseignements personnels. En effet, dorénavant, le règlement européen édicte qu’on doit viser obtenir le consentement explicite et positif des individus, en évitant généralement de se fier sur un consentement implicite ou qui aurait été conféré en ne s’opposant simplement pas à ce qui était proposé. D’ailleurs, le RGPD exigera aussi dorénavant que toute formule ou demande de consentement soit rédigée en termes clairs (qui soit intelligible pour une personne moyenne),  d’une façon qui permette réellement à l’individu d’aisément conférer (ou de retirer) son consentement. Les entreprises devront donc déployer des efforts afin de s’assurer que tout consentement donné relativement à des données à caractère personnel s’avère réellement libre et éclairé, chose peut-être plus facile à dire (ou écrire) qu’à faire.

Concernant le consentement, le règlement énonce aussi de nouvelles règles quant aux adolescents, dont quant à l’âge avant lequel ils ne pourront valablement donner leur consentement quant à l’utilisation de leurs renseignements personnels.

Autre nouveauté, on a imbriqué dans le RGPD le principe de « Privacy by design », à savoir le principe qu’une organisation qui conçoit un système devrait le concevoir en ayant à l’esprit (dès le début de la conception), la façon dont il permettra de contrôler les données. En l ’occurrence, quand on parle de renseignements personnels, le RGDP obligera les entreprises à concevoir leurs produits, leurs services et leurs systèmes en prenant en compte les exigences de protection de ce type spécial de données. On le comprendra, le degré d’attention aux règles du RGPD que cela implique dépasse passablement les pratiques de la vaste majorité des entreprises à l’heure actuelle. Les entreprises qui espèrent se conformer au RGPD ont du pain sur la planche, pas doute.

Le règlement européen créé de plus un nouveauté droit pour l’individu à la portabilité de ses données, dans un format informatique qui soit utilisable.

Le nouveau règlement comporte aussi certaines obligations qui s’apparentent à ce qu’on voit déjà en Amérique du nord, incluant l’obligation de nommer un responsable de ce genre de données, le droit à l’effacement de ses données à la fin de la relation avec l’entreprise, l’obligation d’aviser les individus en cas de fuite ou d’intrusion informatique, etc.

Finalement, ce qui s’avère la chose la plus inquiétantes pour les entreprises touche les sanctions que fixe le RGPD. En effet, selon le règlement, les autorités pourront imposer aux entreprises délinquantes des amendes considérables, pouvant aller jusqu’à vingt millions d’Euros ou (et c’est ce qui a de quoi faire plus peur encore) 4 % du chiffre d’affaires mondial de l’entreprise pour l’année. On comprend aisément qu’avec des pénalités potentielles d’une telle ampleur, l’Europe s’est dotée ici d’un bâton qui a de quoi convaincre toutes les entreprises de l’importance de la question des renseignements personnels, des plus petites aux plus grandes.

Considérant le risque qu’implique le RGPD européen, les entreprises québécoises et canadiennes qui gèrent des données d’entreprises ou de résidents européens (ou même qui leur offre des biens ou services) ont intérêt à faire gaffe, comme dirait nos cousins français. Faites vos devoirs, vous disposez encore de presque six mois pour y voir.