Protection des données : L’enjeu de l’Europe
Les nouvelles lignes directrices pour l’application du RGPD apportent une certaine clarté pour les entreprises canadiennes.
Confrontées à la menace d’amendes extrêmement élevées, les sociétés canadiennes qui font affaire en Europe déploient des efforts pour se conformer aux complexités des exigences du règlement général sur la protection des données (RGPD) de l’Union européenne. Suite à la publication, uniquement en anglais, des nouvelles lignes directrices sur la portée territoriale en novembre 2019, les sociétés ont une meilleure idée des circonstances dans lesquelles le RGPD s’appliquera.
Le RGPD a une vaste portée et revêt maintes complexités. Il normalise la législation connexe à la protection des données et de la vie privée à l’échelle de l’Union européenne et de l'Espace économique européen, et couvre le transfert de données à caractère personnel hors de ces régions. Depuis sa mise en œuvre en mai 2018, la portée extraterritoriale a été source de multiples spéculations et préoccupations dans le monde des entreprises, déclare Lyndsay Wasser à Toronto. Elle copréside les groupes Protection des données et de la vie privée et Cybersécurité du cabinet McMillan.
Les nouvelles lignes directrices apportent une certaine clarté. « Le fait même de posséder les données d’une personne ne vous assujettit pas nécessairement au RGPD. Le critère est beaucoup plus sophistiqué que cela », dit Me Wasser. Le règlement peut s’appliquer « si vous avez des installations dans les limites de l’application du RGPD, ou si vous proposez des produits ou services à des personnes concernées dans l’Union européenne, ou si vous surveillez le comportement de personnes dans l’Union européenne », déclare Me Wasser. Les nouvelles lignes directrices exposent en détail les circonstances dans lesquelles les sociétés satisfont à chacun de ces trois critères.
Le RGPD a intensifié l’attention portée aux questions liées à la confidentialité des données et à la conformité. Cependant, selon Me Wasser, les sociétés sont fréquemment surprises d’apprendre que le Canada possède ses propres lois qu’elles ne respectent pas. Elle leur conseille de ne pas négliger les exigences canadiennes, qui diffèrent parfois de celles du RGPD. Les sanctions canadiennes pourraient ne pas être aussi sévères, mais Me Wasser prévient que les manquements peuvent avoir des conséquences.
« Il n’est pas rare du tout que les représentants d’une société me disent : “Nous n’avons pas besoin de nous préoccuper du droit canadien, nous sommes en conformité avec le RGPD, donc nous sommes en conformité en ce qui concerne tous les pays du monde.” Ce qui n’est pas du tout le cas. Le RGPD est, à maints égards, beaucoup plus strict que la législation canadienne, mais pas à tous les égards. »
Les sanctions prévues par le RGPD peuvent atteindre, selon le chiffre le plus élevé, 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel d’une organisation. En septembre 2019, les organes de contrôle de l’Union européenne avaient annoncé ou imposé des amendes s’élevant à plus de 372 millions d’euros en tout. Cette année, au Royaume-Uni, les organes de réglementation européens ont imposé à British Airways une amende sans précédent de 183 millions de livres en raison d’une fuite de données et, un peu plus tard, une amende de près de 100 millions de livres à Marriott. Par comparaison, les dispositions sur les pénalités et les pouvoirs de réglementation inscrits dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada sont moins répressifs, avec des amendes pouvant s’élever à un maximum de 100 000 dollars au titre de la non-conformité.
Le RGPD continue à faire l’objet de conceptions erronées quant aux modalités de son application et à sa signification pour une entreprise. « Il s’agit d’un cadre juridique très compliqué », dit David Krebs, du cabinet Miller Thomson LLP à Saskatoon, qui se spécialise dans les domaines de la conformité, de la vie privée et de la cybersécurité dans le contexte du droit des affaires. Selon lui, une société peut être assujettie au RGPD en l’absence de toute présence physique sous forme de bureau installé en Europe.
Les nouvelles lignes directrices aident à clarifier les situations dans lesquelles les entreprises canadiennes ne sont pas les responsables du traitement, mais sont considérées comme des entités se limitant au traitement des données. « La distinction réside dans le fait que si la société “est, en quelque sorte, propriétaire des données” et décide de l’objectif et des moyens de traitement, elle est considérée comme un responsable du traitement », dit Me Krebs.
Le RGPD a prévu des exigences très détaillées et précises applicables à la passation d’un contrat entre un responsable du traitement des données et le tiers qui l’effectue. Les nouvelles lignes directrices sont plus explicites quant aux articles du RGPD qui s’appliqueront, même aux sociétés qui traitent les données, sans être les « responsables du traitement ».
« À mon avis, la principale différence, concernant un programme de respect de la vie privée que vous avez mis en place en vertu de la PIPEDA, et devez maintenant réviser pour tenir compte du RGPD, c’est qu’un grand nombre des mesures que vous preniez jusqu’à maintenant pourraient devoir être rajustées pour satisfaire à ces dispositions très précises et normatives inscrites dans le RGPD. »
Selon Me Wasser, il est difficile pour une société de se conformer à chacun des aspects du RGPD étant donné qu’il contient une multitude d’exigences détaillées et que certaines d’entre elles sont difficiles à contrôler. Un grand nombre d’entre elles visent une conformité à l’échelle de l’organisation. Par conséquent, une seule personne qui ne connaît pas l’une des exigences peut involontairement faire dérailler l’organisation tout entière à cet égard.
« Le principal, c’est de posséder un programme de conformité approprié qui permette de documenter les efforts que vous avez faits, y compris la formation de votre personnel quant à la conformité, afin de pouvoir vous défendre en cas de violation unique involontaire et de montrer que l’entreprise a fait tous les efforts possibles en toute diligence, s’efforçant au mieux de se conformer au RGPD. »
Il existe plusieurs bases juridiques pour traiter les données à caractère personnel en vertu du RGPD. « Vous pouvez obtenir le consentement ou vous pouvez traiter les données dans le cadre de la réalisation d’un contrat ou pour satisfaire aux intérêts légitimes de l’organisation », affirme Me Wasser. Toutefois, en vertu des règles canadiennes, le consentement est toujours exigé. « Si vous exploitez votre entreprise au Canada, veillez à ce que votre programme de conformité respecte toutes les lois des régions dans lesquelles vous faites des affaires, sans vous limiter à la conformité au RGPD. Ne présumez pas que la conformité au RGPD emporte conformité à une norme élevée valant pour tous les pays du monde et que nous ne sommes pas tenus de respecter les lois locales. »
L’application de la loi au Canada par les entités de protection des données créées par le RGPD demeure floue, dit Me Krebs. « La jurisprudence est rare quant à la façon dont les entités vouées à la protection des données exerceront des mesures de répression à l’encontre de sociétés non résidentes assujetties au RGPD. »
Me Krebs exhorte les juristes canadiens à comprendre le RGPD et à être proactifs le concernant. « Dès que vous apprenez que votre client fait des affaires en Europe, pourrait recueillir des données concernant des personnes européennes ou prévoit de faire des affaires en Europe à l’avenir, vous devez envisager le RGPD, particulièrement si c’est une entreprise qui est largement fondée sur les données », dit-il. « Dès qu’il existe une possibilité que le RGPD puisse s’appliquer, je pense que les juristes doivent conseiller à leurs clients de prendre la situation très au sérieux. »