Publié par Le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (titre abrégé, croyez-le ou non) vise à mettre la législation européenne à jour, notamment quant à la façon dont les entreprises gèrent et utilisent ces types de renseignements en ligne.
Compte tenu des très sérieuses pénalités prévues par ce nouveau règlement européen (qu’on surnomme de son acronyme anglophone le « GDPR »), il s’avère pertinent de se questionner avant son entrée en vigueur prochaine. Que vise-t-il? Que requiert-il? Quel est le risque?
À ce sujet, mentionnons que le texte du GDPR représente une pièce impressionnante de législation. Jetez-y un coup d’œil rapide en suivant le lien ci-dessus. Même l’introduction du GDPR comporte 173 paragraphes… ouch.
1. Qui vise le GDPR?
À ce sujet, la première chose pertinente à mentionner quant à cette loi européenne, c’est qu’elle peut viser des sociétés européennes et des sociétés étrangères. L’article 3 du GDPR précise en effet qu’il s’appliquera non seulement aux sociétés européennes, mais aussi aux autres (p. ex. sociétés canadiennes). Le critère aura trait au traitement de données à caractère personnel relatives à des résidents européens. Si une entreprise d’ici le fait, par exemple, le GDPR s’appliquera dans la mesure où cela est lié :
- à l’offre de produits/services en Europe, ou
- au suivi du comportement d’Européens (par ex., du « profilage ») en sol européen.
Bien qu’il soit trop tôt pour pleinement comprendre la portée de ces règles, il est permis de penser qu’elles pourront s’appliquer dès qu’une entreprise accepte qu’un Européen transige avec elle (même par Internet) pour des produits/services d’une façon qui génère des renseignements personnels. Cela vise-t-il, par exemple, une entreprise canadienne qui permet que des Européens accèdent à son site Web, même s’ils ne peuvent y acheter de biens? Oui, c’est possible et l’analyse à faire pour parvenir à une réponse pourra dépendre des faits de chaque espèce (c.-à-d. les faits précis d’un dossier en particulier)… inquiétant, non?
Bref, si votre entreprise manipule, gère ou utilise des données qui contiennent des renseignements personnels de résidents européens, attention à vous – posez des questions!
Disons qu’il s’avère clair que le GDPR comporte un risque substantiel de s’appliquer à de nombreuses sociétés canadiennes ayant une présence en ligne.
2. Que requiert le GDPR?
Le GDPR exigera notamment des sociétés étrangères (qui sont visées par lui) de nommer un « représentant » en Europe, aux fins de recevoir les avis concernant l’application du GDPR (comme les plaintes, etc.).
Évidemment, lorsque le GDPR s’applique à une société, elle devra dès lors se conformer aussi à toutes les dispositions du GDPR. Étant donné le régime très exigeant en matière de divulgation, de consentement et de gestion des renseignements personnels que prévoit le GDPR, le respecter exigera, semble-t-il, de sérieux efforts de toutes les entités qui espèrent s’y conformer. On parle d’un sérieux mal de tête pour tous, selon tout ce que je lis à ce sujet.
3. Quel degré de risque implique le GDPR?
Une autre caractéristique inquiétante du GDPR concerne les pénalités qu’il prévoit pour les entreprises qui le violeraient. À ce sujet, le GDPR prévoit deux paliers de pénalités, selon la gravité de l’infraction, une fois qu’elle est survenue. Dans chaque cas, le GDPR fixe la pénalité à un montant X ou un pourcentage des REVENUS MONDIAUX de l’entreprise pour l’année. Oui, vous lisez bien : « mondiaux » – ouch.
Au bas de l’échelle, le GDPR fixe les pénalités de faible ampleur à un montant de 10 000 euros ou 2% des revenus annuels mondiaux de la société ayant violé le GDPR. Pour ce qui est des pénalités pour les cas les plus graves, on parle de 20 000 000 euros ou 4% des revenus annuels mondiaux de la société.
Compte tenu de ce qui précède, le GDPR a de quoi en inquiéter plus d’un, qu’on soit une société européenne ou non. Faites vos devoirs!
DES SOURIS, DU DROIT ET DES HOMMES 