Auteur(s) : Patricia Kosseim, Megan Ferrier

Le 19 avril 2018

Le règlement général sur la protection des données (RGPD) de l’Union européenne (UE), qui entre en vigueur le 25 mai 2018, a été surnommé « le plus important changement dans la réglementation sur la protection des données des vingt dernières années ».[1] Cette affirmation est loin d’être exagérée. Bien que le RGPD s’applique aux responsables du traitement et des sous-traitants en Europe, son application s’étendra même aux entreprises exerçant leurs activités hors de l’UE, y compris les franchiseurs et franchisés au Canada, dans la mesure où ils offrent des biens ou services touchant des personnes concernées[2] de l’UE ou surveillent le comportement de personnes concernées qui a lieu dans l’UE, ce qui comprend le suivi de leur comportement en ligne à des fins publicitaires axées sur ce comportement. Le vent du RGPD risque de souffler très fort, et bien avisés seront ceux et celles qui fermeront la porte à double tour.

Premièrement, les entreprises canadiennes doivent déterminer – si ce n’est déjà fait – si le RGPD s’applique à leurs activités de traitement de données au Canada.

Deuxièmement, les entreprises doivent évaluer dans quelle mesure le RGPD s’applique à elles, car certaines de ses dispositions dépendent de la taille de l’entreprise. Par exemple, les dispositions sur les sanctions qui prévoient des amendes pour toute violation de certains articles peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. L’ampleur des amendes imposées dépend de la taille de l’entreprise, des dispositions ayant fait l’objet de la violation et de certains facteurs aggravants ou atténuants prescrits visant à éclairer une réaction des autorités qui soit « effective, proportionnée et dissuasive ».[3]

De plus, une entreprise ou organisation devient dans l’obligation de désigner un délégué à la protection des données, jouissant d’expertise, de ressources, de responsabilités et d’indépendance significatives au sein de l’entreprise, dès que ses activités de traitement de données sont « à grande échelle ». Cette détermination peut dépendre du nombre de personnes concernées, du volume de données traitées, et de la durée, de la permanence et de l’ampleur géographique de ses activités de traitement de données.[4]    

Troisièmement, les entreprises doivent évaluer en quoi les exigences du RGPD diffèrent de leurs obligations existantes en vertu des lois canadiennes régissant la protection des renseignements personnels dans le secteur privé, et s’efforcer ensuite de respecter les normes les plus contraignantes parmi celles-ci. Cela peut nécessiter l’adoption de nouveaux cadres de gouvernance et de reddition des comptes, des protections plus rigoureuses et de nouveaux mécanismes pour respecter les droits des personnes concernées présentés dans le RGPD qui ne sont pas encore explicitement prévus dans la LPRPDE ou d’autres lois substantiellement similaires régissant le secteur privé au Canada. Voici quelques exemples de telles exigences :   

  1. Droit à la portabilité des données[5] : le RGPD va plus loin que le droit d’accès prévu dans la LPRPDE en incluant un droit à la portabilité des données en vertu duquel un particulier a le droit de recevoir les données à caractère personnel le concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine afin de pouvoir transmettre ces données à un autre responsable du traitement sans obstacle.
  2. Droit à l’effacement[6] : alors que la LPRPDE accorde aux particuliers le droit à retirer leur consentement et à contester le caractère exact, complet et à jour de leurs données personnelles, le RGPD accorde le droit plus explicite et étendu d’exiger des entreprises ou organisations d’« effacer » ou supprimer les renseignements personnels dans les meilleurs délais en certaines circonstances. Ce « droit à l’oubli » prévu dans le RGPD est néanmoins assujetti à certaines exceptions, notamment lorsque le traitement est nécessaire : pour l’exercice du droit à la liberté d’expression et d’information; pour respecter une obligation légale ou l’établissement, l’exercice ou la défense de revendications juridiques; ou pour des raisons d’intérêt public, dont des fins de santé publique, archivistiques et statistiques; ou pour la recherche scientifique ou historique.
  3. Exigences de consentement[7] : bien que la LPRPDE définisse des conditions claires de consentement valides, les exigences du RGPD sont encore plus contraignantes. En vertu du RGPD, le consentement doit être donné dans le cadre d’une déclaration ou d’un acte positif clair établissant une indication librement consentie, précise, éclairée et non ambiguë de l’acceptation par une personne du traitement de ses données personnelles. Une demande de consentement ne peut être intégrée à d’autres conditions dans un contrat; elle doit être présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Là où la LPRPDE prévoit un consentement implicite dans des circonstances appropriées, le RGPD ne le prévoit pas – bien qu’il prévoit tout de même un fondement juridique du traitement, y compris des intérêts opérationnels légitimes.
  4. Protection des données dès la conception et par défaut[8] : le RGPD exige des responsables du traitement qu’ils adoptent des politiques internes et mettent en œuvre des mesures techniques et organisationnelles appropriées qui répondent aux principes de protection des données dès la conception et de protection des données par défaut. Ces mesures comprennent la réduction des données au minimum et des paramètres par défaut assurant la protection des renseignements personnels. Bien que le concept de « protection des données dès la conception » ait vu le jour au Canada[9] et ait été présenté comme une pratique exemplaire, ce n’est pas une exigence légale en droit canadien de la protection des renseignements personnels.
  5. Analyses d’impact relatives à la protection des données[10] : les législateurs canadiens encouragent l’exécution d’analyses d’impact relatives à la protection des données avant le déploiement de programmes ou initiatives en matière de données nouveaux (ou grandement modifiés). En vertu du RGPD, les analyses d’impact relatives à la protection des données deviennent obligatoires si le traitement, notamment par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
  6. Exigences de notification des violations[11] : le RGPD exige que les violations de données soient signalées à l’autorité de contrôle compétente (de l’État membre de l’UE concerné) dans les meilleurs délais et, dans la mesure du possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Si ce risque est susceptible d’être élevé, l’entreprise ou organisation doit également communiquer la violation des données personnelles à la personne concernée ou aux personnes concernées.

Malgré quelques différences notables entre le RGPD et les lois canadiennes existantes, l’écart pourrait se combler avec le temps. Par exemple, à compter du 1er novembre 2018, les propres exigences de notification de violation du Canada, avec les dispositions relatives aux amendes en cas de contravention, entreront en vigueur au niveau fédéral.[12]  

Les législateurs perçoivent le RGPD comme la nouvelle norme en matière de protection des données à laquelle nous devons aspirer. Dans un récent rapport[13], le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le Comité ETHI) demande au gouvernement d’envisager d’intégrer de nombreuses caractéristiques semblables à celles du RGPD dans la prochaine mouture de la LPRPDE. En voici les principales : exigences de consentement plus rigoureuses, avec exception semblable à celle prévue dans le RGPD pour les intérêts opérationnels légitimes; énonciation explicite du droit à la portabilité des données et du droit d’effacement; exigence obligatoire des principes centraux de protection dès la conception et de protection par défaut; et renforcement des pouvoirs d’application de la loi au commissaire à la protection de la vie privée du Canada, y compris le pouvoir de rendre des ordonnances exécutoires et d’imposer des amendes pour non-conformité.  

Fait à souligner, le Comité ETHI exhorte le gouvernement fédéral à évaluer sans délai d’éventuelles modifications législatives à la LPRPDE (et aux lois provinciales régissant le secteur privé) nécessaires pour permettre au Canada de conserver son statut d’adéquation[14] au RGPD et soit à mettre en œuvre ces modifications, soit à créer d’autres mécanismes afin d’assurer la transmission transparente des données entre le Canada et l’UE.

Veuillez communiquer avec les membres de l’équipe du droit de la protection des données d’Osler pour vous renseigner davantage sur le RGPD ou d’autres questions touchant la protection des données.

 

[1] GDPR Portal, online at EUGDPR.org.

[2] Data subjects are defined as identified or identifiable natural persons.

[3] Article 83 GDPR.

[4] Article 37 GDPR; See also, Article 29 Data Protection Working Party Guidelines on Data Protection Officers, adopted December 13, 2016, at p. 7.

[5] Article 20 GDPR.

[6] Article 17 GDPR.

[7] Article 7 GDPR.

[8] Article 25 GDPR.

[9] Originally developed by Dr. Ann Cavoukian, former Information and Privacy Commissioner of Ontario.

[10] Article 35 GDPR.

[11] Article 33 GDPR.

[12] These were originally adopted as part of Bill S-4 which amended PIPEDA in 2015, but their entry into force was delayed until only recently. See AccessPrivacy, by Osler, for more information on the new breach notification requirements. 

[13] House of Commons Standing Committee on Access to Information, Privacy and Ethics Towards Privacy By Design: Review of the Personal Information and Electronic Documents Act, February 2018, 42nd PARLIAMENT, 1st Session.

[14] “Adequacy” is a formal designation granted to foreign jurisdictions by the European Commission based on its assessment of the level of data protection afforded by their laws and international commitments. An “adequacy” designation provides a legal basis for trans-border data flows to and from the EU. Canada has enjoyed adequacy standing since 2001 and will be up for renewal by 2022.