Nouvelles règles de l’UE sur la protection des données : le Canada est-il prêt?

Ce règlement à portée extraterritoriale expose les contrevenants à de lourdes amendes (jusqu’à 4 % de leurs recettes mondiales). ABC National s’est entretenu avec Anick Fortin-Cousens, directrice de programme du Bureau de la protection des renseignements personnels d’IBM, pour discuter des répercussions sur les entreprises canadiennes.

ABC National: Quelle est l'importance du RGPD?

Anick Fortin-Cousens: L’Europe possède depuis plus de 20 ans ce que beaucoup considèrent comme la meilleure loi sur la confidentialité des données. La plupart des pays ayant légiféré sur cette question l’ont prise pour modèle à divers degrés. Ils s’en sont inspirés notamment parce qu’elle prévoit sur les transferts de données transfrontaliers des restrictions pouvant être levées si les renseignements personnels sont acheminés vers un pays doté d’une législation adéquate aux yeux des autorités de l’UE. Par « adéquat », nous entendons semblable – très semblable – au cadre européen, auquel ces pays peuvent vouloir se conformer aux fins de commerce et d’investissement. Le RGPD est aussi important parce que bon nombre d’organisations devront redoubler d’ardeur.

N: Quelles sont les répercussions sur les entreprises?

AFC: Le but est d’accroître le contrôle des gens sur la collecte, l’utilisation, la divulgation et le traitement de leurs renseignements. Le RGPD exige également des organisations plus de transparence et de responsabilité à une époque où la technologie facilite comme jamais la collecte et l’exploration de données et où la surveillance semble de plus en plus omniprésente. Contrairement à notre loi fédérale, la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques), le RGPD est extrêmement contraignant. Et sa portée extraterritoriale est très vaste – sans précédent, même. Il s’applique aux organisations situées à l’extérieur de l’UE offrant des biens ou services sur le marché européen ou suivant le comportement de personnes de l’UE. Et ses sanctions sont sévères – une entreprise pourrait devoir payer jusqu’à 4 % de son chiffre d’affaires annuel mondial.

N: Qu'en est-il de l'adéquation concernant le Canada?

AFC: Tout pays risque de perdre son statut d’adéquation. Pour le Canada, on s’inquiète du fait que la LPRPDE n’a fait l’objet d’aucune modification substantielle depuis 2001, année de l’obtention de son statut : nous pourrions le perdre s’il se creuse un trop large fossé entre notre loi et leur règlement. Notre cadre juridique de l’accès de la police aux données et notre infrastructure de sécurité nationale pourraient aussi jouer contre nous. Ce qu’il faut se demander, c’est si nous devons chercher à maintenir notre statut. La question reste entière. Difficile de savoir en quoi l’adéquation a pu profiter financièrement aux entreprises canadiennes. Aucune donnée statistique fiable ne permet de le savoir avec certitude, et c’est sans compter que ces décisions sont souvent politiques. Cela dit, s’il y a une chose sur laquelle nombre d’experts s’entendent, c’est que le cadre de protection de la vie privée du Canada ne devrait pas être dicté par Bruxelles.

N: Les pourparlers entourant l’ALENA ramènent les restrictions sur la localisation des données à l’avant-scène. Comment concilier cette situation avec les exigences du RGPD?

AFC: Il est crucial de maintenir la libre circulation des renseignements personnels. Toutefois, il existe plusieurs moyens d’y parvenir en répondant à nos objectifs de commerce et d’investissement. Certains jetteront leur dévolu sur l’adéquation, mais d’autres exploiteront les mécanismes de transfert de données offerts aux entreprises souhaitant faire circuler des données ailleurs qu’en Europe. La plupart des pays n’ont pas de loi adéquate aux yeux de l’UE, mais cela ne les empêche pas de faire du commerce, car d’autres mécanismes s’offrent à leurs entreprises.

N: Mais le RGPD préserve le statut de l’Europe en tant que champion de la protection de la vie privée. C'est la norme à suivre, n'est-ce-pas?

AFC: Le monde ne va pas en se simplifiant. Plus de 100 pays se sont dotés de lois exhaustives sur la protection des renseignements personnels – et c’est sans compter les lois sectorielles et les autres lois de protection du consommateur. Toutes ces lois sont assorties de règlements, dont l’interprétation varie selon la région. L’adoption d’une norme qui place la barre très haut aide à se conformer à ces lois et, tout aussi important, à répondre aux attentes des parties prenantes. C’est un principe fondamental que nous avons tendance à oublier. Tout ce que nous faisons en tant que professionnels du domaine devrait favoriser une relation de respect et de confiance avec les parties prenantes et viser à atteindre l’objectif stratégique ultime de ces lois et règlements.

Anick Fortin-Cousens a pris la parole au Symposium de l’ABC sur le droit de la vie privée et de l’accès à l’information en octobre 2017