L’impact du RGPD sur les détaillants canadiens
Un cadre juridique, entré en vigueur en Europe le 25 mai 2018, commence à provoquer des vagues en Amérique du Nord, de l’autre côté de l’océan.
PAR ANDREW HIND
TANDIS QUE le règlement général sur la protection des données (RPGD) est un ensemble de règles permettant aux citoyens de l’UE de mieux contrôler leurs données personnelles. De nombreux détaillants canadiens doivent encore saisir comment cette législation européenne a aussi d’importantes répercussions sur eux.
Le RGPD est le successeur de la directive européenne relative à la protection des données (DPD) de l’Union européenne (UE), haussant la barre en matière de respect de la vie privée. Mais plus important encore, il a étendu des applications extraterritoriales dont les lois européennes, en matière de protection de la vie privée, touchent directement les entreprises et les organisations nord-américaines pour la première fois.
Vastes répercussions
Selon les termes de la DPD de 1995, les organisations non européennes n’étaient tenues de s’y conformer que lorsqu’elles opéraient en Europe ou menaient des activités de traitement de l’information via des installations physiques situées sur le territoire de l’UE. En comparaison, le RPGD s’appliquera à toute entreprise, quel que soit son emplacement, qui vend ou expédie en Europe, ou qui utilise les informations personnelles des résidents de l’Union européenne — pas seulement des citoyens — à des fins de marketing. Cette application s’étend au traitement des informations personnelles des résidents de l’UE par les collecteurs de données et les responsables du traitement de données, peu importe où ils se trouvent. Il est donc clair que la portée du RGPD est bien plus large que celle de son prédécesseur, le DPD.
« Le RGPD de l’Union européenne a créé de nouvelles obligations pour les entreprises canadiennes qui gèrent les informations personnelles de personnes vivant en Europe », explique Tobi Cohen, conseiller principal en communications, Commissariat à la protection de la vie privée du Canada. « Bien que toutes les organisations canadiennes ne soient pas obligées de se conformer au RGPD, le nouveau règlement étend la portée des règles de l’Union européenne à l’échelle internationale dans certaines circonstances. En plus de s’appliquer à toutes les organisations qui exploitent un établissement dans l’UE, le RGPD peut également s’appliquer aux organisations canadiennes qui offrent des biens ou des services aux Européens (que le paiement soit exigé ou non); ou s’ils surveillent le comportement des Européens au sein de l’UE. »
Du pareil au même, mais différent
Bien que le RGPD et la loi fédérale sur la protection des renseignements personnels, la législation du Canada sur le secteur privé et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) partagent un certain nombre de principes fondamentaux, il est important pour les détaillants canadiens de noter que la LPRPDE a été créée en réponse au DPD. Il s’agit en fait de lois différentes.
« Les concepts généraux sont similaires, mais les détails sont différents entre le RGPD et la LPRPDE », explique Lyndsay A. Wasser, coprésidente du groupe de la protection des données et de la protection des données de McMillan LLP, un important cabinet d’avocats basé au Canada. « La législation canadienne sur la protection des renseignements personnels énonce des exigences générales, tout en laissant une certaine marge de manœuvre quant à la manière dont les entreprises répondent à ces exigences. L’approche européenne est beaucoup plus restrictive, notamment en ce qui concerne le franchissement des frontières des données et la manière dont les entreprises obtiennent des données. »
Madame Wasser explique que pour les consommateurs, la différence la plus évidente entre la législation RGPD et la législation canadienne sur la protection de la vie privée implique l’obligation pour les entreprises d’obtenir un consentement explicite avant de collecter les informations personnelles d’un individu. « En vertu de la législation canadienne, une entreprise peut compter sur le retrait de consentement lorsque les utilisateurs l’informent qu’ils ne veulent plus que leurs informations soient collectées et traitées. Ce n’est pas suffisant dans le cadre du RGPD. Le RGPD n’autorisant pas les retraits de consentements, les entreprises doivent donc obtenir un consentement explicite et éclairé chaque fois qu’elles collectent des données à caractère personnel pour un particulier dans l’UE », a-t-elle déclaré.
Mais la responsabilité des détaillants en tant que contrôleurs de données ne s’arrête pas là. Ils doivent également: communiquer avec toute personne dont ils possèdent actuellement les données personnelles et obtenir leur consentement s’ils ne l’ont pas fait lors de la première collecte de leurs informations; conserver une base de données détaillée de toutes les personnes qui ont consenti à ce que leurs données soient collectées, ainsi qu’une preuve de leur consentement; disposer d’un moyen clair et viable pour les personnes concernées de retirer leur consentement et d’effacer leurs informations; mettre en œuvre des mesures de sécurité appropriées pour protéger les données; répondre aux demandes de données dans un délai d’un mois; et obtenir à nouveau le consentement s’ils souhaitent utiliser les données d’une nouvelle manière qui n’avait pas été consentie lors de la collecte initiale des données.
De manière significative, en vertu du RGPD, les entreprises sont également tenues de signaler toute infraction, quelle qu’elle soit, à l’autorité de protection des données concernée dans les 72 heures suivant l’événement. De même, ils doivent informer les personnes si leurs données ont été compromises et des mesures à prendre pour se protéger. Les règles de la LPRPDE, en revanche, ne stipulent pas de délai spécifique pour la production de rapports.
« Les pouvoirs d’exécution du RGPD sont une autre différence majeure », explique madame Wasser. « La législation canadienne en matière de protection de la vie privée ne prévoit aucune sanction en cas de collecte ou de transmission illégale de données, alors que les amendes sont très lourdes dans l’UE – jusqu’à 20 000 000 EUR, ou 4 % du chiffre d’affaires annuel total de votre société pour l’année précédente, selon le montant le plus élevé », explique madame Wasser.
Se conformer de manière proactive
La portée du RGPD est également beaucoup plus grande qu’on le pense généralement, au-delà des simples détaillants qui vendent des biens en Europe. Les universités dont les étudiants viennent d’Europe, les sites Web utilisant des témoins et d’autres fonctionnalités de suivi des informations, et même les entreprises liées au tourisme, comme les centres de villégiature et les voyagistes, peuvent toutes être touchées.
Dans l’état actuel des choses, les détaillants qui ne collectent pas de données auprès des résidents de l’UE ne doivent pas s’inquiéter de ces changements. Mais madame Wasser insiste contre la complaisance. Plus les personnes se préoccupent de leur vie privée, plus les entreprises doivent s’engager en faveur de la transparence et prendre leur rôle d’intendant des informations de leurs clients beaucoup plus au sérieux.
« À l’heure actuelle, nos lois sur la protection de la vie privée sont déclarées satisfaisantes par l’Union européenne. En fait, elles sont plutôt complètes et parfois plus strictes que le RGP. Elles seront toutefois réévaluées dans quelques années. Si, à ce moment-là, l’UE estime que notre législation n’est plus adéquate, il sera beaucoup plus difficile de transférer des informations entre l’Europe et le Canada », explique-t-elle.
« Il existe une volonté politique d’apporter des changements pour que nous restions en bonne position auprès de l’UE. Par conséquent, même les détaillants canadiens qui ne sont pas affectés actuellement devraient envisager d’apporter des changements, comme s’ils l’étaient. »
Les experts s’accordent pour dire que le RGPD place la barre plus haute dans le monde de la protection de la vie privée et que ce n’est qu’une question de temps avant que les citoyens du Canada et du monde entier bénéficient d’une meilleure protection de leurs données personnelles.
Demande de conseils et d’orientation
Les modifications apportées aux lois sur la protection des renseignements personnels en vertu du RGPD sont importantes et, pour bon nombre de détaillants, elles semblent difficiles à comprendre. Monsieur Cohen le reconnaît et dit que les propriétaires d’entreprise devraient demander de l’aide pour se familiariser avec ces nouvelles réglementations.
« Les organisations basées au Canada qui vendent à l’UE ou collectent des informations sur les citoyens européens peuvent souhaiter obtenir des conseils juridiques concernant leurs obligations, particulièrement au fur et à mesure que le RGPD introduit de nouveaux concepts qui pourraient ne pas être reflétés dans la LPRPDE », explique-t-il. « Ils pourraient également consulter le site Web de la Commission européenne qui propose des informations destinées à aider les entreprises à se conformer aux exigences du règlement général. Enfin, le groupe de travail « Article 29 » sur la protection des données a élaboré une fiche d’information proposant des informations et des conseils pour aider les entreprises canadiennes. »
Il est important que les entreprises susceptibles d’être soumises aux règles du RGPD les examinent immédiatement en détail et déterminent quels changements peuvent être nécessaires dans leur comportement opérationnel. Mais l’impact de la nouvelle législation va au-delà des entreprises qui peuvent actuellement être touchées. Le besoin croissant pour une sécurité accrue de la vie privée suggère que tous les détaillants canadiens devraient apporter à leurs procédures des modifications similaires à celles de l’UE.
