Depuis quelques semaines, vous avez sûrement vu passer des publications au sujet du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais). Le RGPD entrera en application le 25 mai 2018 et vise à harmoniser les règles en matière de protection des données à caractère personnel au sein de l’Union européenne.
Mais alors, en quoi cela vous concerne-t-il ? Vous êtes une entreprise canadienne et vous croyez que ce RGPD ne s’applique qu’aux entreprises européennes ? Détrompez-vous ! L’une des principales caractéristiques de cette réglementation est son champ d’application allant au-delà des frontières de l’Union européenne.
Comme la législation est toujours un peu complexe à comprendre, surtout lorsque celle-ci a été élaborée dans un autre continent que le nôtre, nous avons décidé de poser quelques questions directement à une citoyenne de l’Union européenne, Mélanie Gagnon !
Mélanie a fondé son entreprise en protection des données et sécurité de l’information, MGSI, au Luxembourg, après avoir travaillé plusieurs années dans le domaine au Québec. Elle connaît donc très bien les deux continents et peut comprendre les impacts réels du RGPD sur les entreprises canadiennes.
À qui s’applique ce règlement et pourquoi des entreprises canadiennes peuvent-elles être visées ?
Le règlement s’applique aux données à caractère personnel relatives à des individus qui se trouvent sur le territoire de l’Union européenne. Il peut s’appliquer à une société qui n’a pas de siège en Europe, mais qui offre des biens ou services à des personnes dans l’Union ou qui suit le comportement de ces personnes (par exemple, profilage en ligne des sites Web consultés).
Donc même si vous n’avez pas de bureau dans un pays d’Union européenne, mais que vous y vendez des services ou produits, vous serez concernés !
Petite parenthèse : Qu’est-ce qu’une donnée à caractère personnel dans le cadre du RGPD ?
Une donnée à caractère personnel est définie comme toute information, quels que soient sa nature et son support, se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, prénom, historique de navigation). Même les adresses IP ou les cookies (témoins de connexion) sont concernés. Ce sont des informations que presque toutes les entreprises récoltent dès qu’elles ont un site Web.
Concrètement, cela veut dire quoi ? Dans quel contexte une compagnie canadienne peut-elle être concernée ?
Je peux vous donner quelques exemples :
- Est-ce que votre société permet à des personnes dans l’Union d’acheter des produits et services en ligne ? Par exemple, la loi concerne une société canadienne spécialisée dans la vente de chaussures si celle-ci permet à des clients situés en Espagne, en Allemagne ou en France de les commander et de se les faire livrer dans l’un de ces pays.
- Est-ce que vous avez (ou prévoyez) développer une application traitant des données à caractère personnel disponible pour le marché européen ? Ainsi, une plateforme de streaming de musique canadienne qui analyse les goûts musicaux de ses utilisateurs situés au Luxembourg, en Belgique ou aux Pays-Bas sera certainement soumise aux obligations du RGPD.
Si une entreprise s’est reconnue dans un de ces exemples, quels sont les impacts à partir de là ?
Si votre société est soumise au RGPD, cela a de nombreux impacts à ne pas négliger. Notamment :
Obligation de la protection des données dès la conception (et par défaut) : De manière plus générale, les entreprises canadiennes ciblant des Européens devront prendre en compte les règles et principes de protection des données du RGPD dès la mise en œuvre de nouveaux traitements. Elles devront en conséquence documenter cette mise en conformité, en tenant par exemple un registre de traitement et en désignant un DPO, pilote de cette démarche.
Le DPO, pour « Data Protection Officer », est une personne responsable de la protection des données personnelles traitées par un organisme (administration, entreprise…). Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles.
Obligation de la nomination d’un représentant : Une société canadienne se trouvant dans l’obligation de se conformer au RGPD est tenue de désigner un représentant au sein de l’Union européenne. Ce représentant est amené à être le point de contact des autorités de contrôle et des individus.
Obligation de permettre l’exercice des droits des individus : Des mesures doivent être prises par les sociétés canadiennes afin de permettre aux individus d’exercer leurs droits : notamment les droits d’accès, de rectification et d’effacement de leurs données.
Sanctions en cas de non-respect de l’obligation de notification des violations de données: Les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le plus élevé, mais il ne faut pas oublier que les autorités de contrôle peuvent également imposer des mesures correctrices, par exemple, ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.
À partir du 25 mai 2018, toutes les entreprises canadiennes qui souhaitent maintenir leurs relations commerciales avec le marché européen devront se conformer au RGPD ! Une non-conformité pourra se traduire par de lourdes amendes administratives, ou par l’injonction de cesser d’offrir vos produits et services en Union européenne.
Finalement, vous pensez que le RGPD vous concerne ? Vous ne savez pas trop comment aborder les prochaines étapes pour y être conforme ? Pas de panique ! Mélanie Gagnon et CyberSwat s’unissent pour vous proposer une demi-journée de formation, dédiée aux entrepreneurs et dirigeants de PME qui font affaire avec l’Union européenne.
Le 12 juillet à Québec, nous vous donnerons des outils précis pour vous aider à mieux comprendre le règlement, puis à devenir conforme, en nous basant sur votre situation actuelle. Ne manquez pas cette formation unique et concrète !
SVP, remplir le formulaire ci-dessous si vous souhaitez participer.
1 réflexion au sujet de « Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ? »