Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

Technologie et gouvernance de l’information

Entrée en vigueur du RGPD : Impact du nouveau règlement sur les entreprises canadiennes

  • Geneviève Gagné
Par Geneviève Gagné Avocate
La protection des données personnelles est un sujet dans l’air du temps, notamment depuis les événements récents impliquant Facebook et Cambridge Analytica.
Avec l’ère numérique qui est déjà bien à nos portes, les flux de données ont augmenté à un point tel que les données elles-mêmes ont acquis une valeur commerciale. Afin d’encadrer ce phénomène, les Européens ont adopté un nouveau règlement qui touchera la vaste majorité des entreprises canadiennes : Le Règlement Général sur la Protection des Données (RGPD). Son entrée en vigueur est le 25 mai 2018.
 
Le RGPD régule le traitement des données personnelles et s’applique aux entreprises hors Union Européenne (UE), dans la mesure où ces dernières offrent des biens et des services à des personnes situées en UE ou réalisent un profilage de ces dernières.

Le RGPD peut être divisé en deux catégories de règles : les droits des personnes concernées par le règlement et les obligations des entreprises qui récoltent leurs données. 
 
Dans le premier cas, les droits existants sont renforcés et de nouveaux sont introduits, notamment : meilleur accès aux données (plus d’informations doivent être données sur leur traitement), droit à la portabilité (transférer ses données d’un fournisseur de service à l’autre), droit à l’oubli (faire effacer ses données) et le droit d’être informé du piratage de ses données. 

En ce qui concerne les entreprises, elles devront se familiariser avec le concept de privacy by design (mesures de protection des données dès la conception du système informatique), réviser leur méthode de collecte et de traitement, ainsi que les modalités d’obtention du consentement  des utilisateurs, d’information quant au traitement des données les concernant, etc. Le RGPD introduit également l’obligation de documenter les mesures de sauvegarde et les modalités de traitement des données, en plus d’études d’impacts lorsque ce traitement implique un risque pour la vie privée des personnes. Les entreprises qui traitent des données à grande échelle devront quant à elles nommer un « délégué à la protection des données », présent sur le territoire de l’UE. 

Une particularité du RGPD est que des amendes élevées sont prévues en cas de violation, soit 4 % du chiffre d’affaire mondial ou 20 millions d’euros, selon le montant le plus élevé des deux, ces montants pouvant techniquement être recouvrés au Canada. 

Concrètement, cela implique une révision des procédés internes et des documents légaux des entreprises concernées, principalement celles ayant recours au commerce électronique. Des exemples sur le plan technique incluent des procédures de gestion des accès informatiques et des failles de sécurité, mesures d’évaluation et de prévention des risques, etc. La conformité aux obligations légales implique la rédaction ou l’adaptation de politiques de confidentialité des données personnelles, de conditions d’utilisation de sites internet, etc. Comme les entreprises sont également responsables des actes de leurs sous-traitants, plusieurs contrats devront également être révisés de manière à s’assurer que ces derniers sont conformes aux obligations du RGPD et à partager la responsabilité, le cas échéant. La démarche ne sera pas vaine, car les lois canadiennes sont également en voie d’être modifiées pour introduire de nouveaux standards similaires. 

La nature exacte des démarches à entreprendre dépend du modèle d’affaires, du type et de la quantité de données recueillies par une entreprise, ainsi que du traitement qu’elle en fait. Une évaluation au cas par cas est donc essentielle. Notre équipe du droit des technologies est en mesure de vous aider dans cet exercice, dont le principal bénéfice est un positionnement compétitif stratégique. 
1