Le Règlement européen sur la protection des données personnelles : vent de changement ou ouragan ?

Bien que le nouveau Règlement européen sur la protection des données personnelles (ou « GDPR », de son acronyme anglophone) demeure une loi européenne, ses dispositions sont telles que de nombreuses entreprises canadiennes feraient bien d’y porter attention. Qu’on veuille ou non se préoccuper de droit européen ou de droit concernant les renseignements personnels, le GDPR viendra changer la donne, et ce, à l’échelle mondiale. Voici en gros de quoi il s’agit (bien que je sois pour l’instant loin d’en être un expert) :

En résumé, la raison pour laquelle les entreprises canadiennes devraient prendre note de l’existence et des règles du GDPR a d’abord trait aux règles d’application qu’il comporte. Ce règlement s’appliquera notamment à toute entreprise OÙ QU’ELLE SOIT qui traite avec les renseignements personnels de résidents européens. Ce faisant, dès qu’une entreprise gère des données personnelles relatives à un individu du territoire européen, le règlement peut s’appliquer. Pire encore, le GDPR contient une définition plus large que la loi canadienne de ce qu’on peut considérer comme étant un renseignement personnel et de ce qu’est « traiter » un renseignement personnel.

Par exemple, le fait de bâtir un profil d’internaute (notamment pour mieux le cibler avec de la publicité ensuite) déclenchera généralement l’application du GDPR. La même chose sera d’ailleurs vraie si on recueille des données quant à un individu (même si on ne connaît pas son nom, etc.) et qu’on gère ces données en association dans le contexte de lui fournir des services ou de lui vendre éventuellement des produits. On en conviendra, cela ratisse large.

Les entreprises canadiennes voudront aussi prendre note de l’existence du GDPR à cause du montant des pénalités éventuelles qui pourront être imposées aux entreprises ayant violé la loi. En l’occurrence, le GDPR prévoit des pénalités qui pourront atteindre 2 % à 4 % du revenu annuel mondial de l’entreprise délinquante. Avec un tel calcul, aucune entreprise n’est susceptible de vouloir ignorer le GDPR, ne serait-ce que pour s’assurer qu’il ne s’applique pas à elle.

Du point de vue du territoire, le GDPR s’appliquera aussi automatiquement dès que la société à l’origine de la collecte ou son sous-traitant sont présents en Europe, ne serait-ce que par l’existence d’un bureau là-bas. Ainsi, si une société canadienne agit comme fournisseur de services informatiques d’une société européenne (en recevant des données personnelles), alors le GDPR trouvera application, du seul fait qu’une société européenne est impliquée. On le conçoit donc, les règles d’application étendent la portée du GDPR à passablement plus que les seules sociétés européennes !

Quand il s’applique, le GDPR est exigeant par rapport à la gestion des renseignements personnels. Celle-ci comprendra, par exemple, le genre et la qualité des consentements qu’il faut obtenir des individus (et à quel moment), le droit d’accès dont les individus disposeront, les systèmes qu’il faudra avoir mis en place et les formalités à respecter. On pourra notamment devoir nommer un représentant désigné sur le territoire européen, que les autorités pourront contacter à l’occasion pour interagir avec l’entreprise au sujet de l’application du GDPR, etc. Le GDPR comprendra notamment les droits suivants pour les individus :

  • Droit d’accorder ou non son consentement clair et de le retirer en tout temps ;
  • Droit de refuser le traitement de ses renseignements ou de s’y opposer ;
  • Droit de refuser son profilage ou de s’y opposer  ;
  • Droit de se faire oublier en retirant certaines de ses données de l’œil du public ;
  • Droit à la portabilité de ses renseignements personnels (par ex. quand on veut mettre un terme à la relation avec ce fournisseur).

L’un des principes fondamentaux mis de l’avant par le GDPR est appelé le principe de « Protection de la vie privée dès la conception » (ou « privacy by design », en anglais), un principe dont on discute depuis une vingtaine d’années et que l’Europe est la première à adopter à grande échelle. (Le Canada parle d’ailleurs d’adopter aussi ce principe dans la prochaine mouture de sa loi nationale.) Ce principe exigera dorénavant qu’on limite la collecte de données à ce qui s’avère réellement nécessaire et que la protection de ces données soit partie intégrante des systèmes de l’entreprise, et ce, dès le premier moment d’existence du dossier. Pour vous donner une idée, ce principe reposerait sur sept fondements [tiré de Wikipédia] :

  1. « Prendre des mesures proactives et non réactives, des mesures préventives et non correctives (prévoir et prévenir les incidents liés à l’atteinte de la vie privée avant même qu’ils ne se produisent) ;
  2. Assurer la protection implicite de la vie privée (faire en sorte que les données personnelles soient protégées de manière automatique avec un paramétrage par défaut des nouvelles technologies assurant un niveau de protection maximum des données sans que l’utilisateur ait à définir de paramètres spécifiques) ;
  3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques ;
  4. Assurer une fonctionnalité complète selon un paradigme à somme positive et non à somme nulle (assurer la protection de la vie privée sans nuire à la mise en œuvre d’autres fonctionnalités) ;
  5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements ;
  6. Assurer la visibilité et la transparence (chaque élément intégré aux systèmes lié à la protection des données personnelles doit rester visible et transparent en cas de vérification indépendante) ;
  7. Respecter la vie privée des utilisateurs ; »

Bref, faire ce que font aujourd’hui la plupart des entreprises (en énonçant des règles et en créant des systèmes à la pièce, longtemps après avoir constitué leurs dossiers) sera bientôt chose du passé, au fur et à mesure que les entreprises se conformeront à ce principe, au fil de son adoption dans de plus en plus de territoires. Nul besoin de dire que cela représente un réel changement de paradigme.

Les sociétés européennes entendent parler du GDPR depuis un an ou deux, les sociétés nord-américaines commencent à peine. Quand elles réalisent l’ampleur de ce que requiert le GDPR et les pénalités éventuelles possibles, plusieurs dirigeants se montrent incrédules. Quatre pour cent de nos ventes mondiales – vraiment !? Oui, vraiment. Certaines sociétés nord-américaines en viennent d’ailleurs maintenant à la conclusion, après le choc initial, qu’il s’avère irréaliste pour elles de se conformer aux dispositions du GDPR. Plusieurs ont ainsi déjà déclaré qu’elles cesseraient tout contact avec des résidents européens, question d’éviter l’application éventuelle du GDPR à leurs activités. Plusieurs PME canadiennes pourraient vouloir faire l’exercice et, comme résultat, pourraient bien envisager une telle mesure drastique.

Le GDPR entre en vigueur le 25 mai 2018. Il devra ensuite être mis en œuvre par une adaptation des lois nationales de chacun des 27 pays de l’Union européenne. Plusieurs autres pays non européens amorcent aussi déjà leur réflexion pour tenter d’arrimer leurs lois respectives en matière de renseignements personnels avec le GDPR, y compris dans le but de pouvoir être considérés comme territoires dans lesquels la loi sur les renseignements personnels équivaut au GDPR. Comme cela est arrivé à la fin des années 1990, il y a fort à parier que c’est la direction que prendra aussi le Canada d’ici quelques années. Même si le genre de choses que contient le GDPR ne s’avère pas pertinent pour tous au Canada actuellement, elles pourraient bien le devenir…