PRÊT POUR LA RÉGLEMENTATION EUROPÉENNE ?
Les entreprises québécoises sont-elles prêtes à risquer une amende pouvant atteindre 20 millions d’euros (30 M$) ou 4 % de leur chiffre d’affaires annuel mondial ?
C’est ce qui pourrait arriver à celles qui ne se sont pas encore conformées au nouveau Règlement général pour la protection des données (RGPD), en vigueur dans l’Union européenne (UE) depuis le 25 mai.
Par le RGPD, la Commission européenne affirme vouloir accorder aux citoyens un meilleur contrôle sur leurs données à caractère personnel. Elle estime aussi que les entreprises de l’UE ne seront pas défavorisées par rapport à celles qui sont implantées sur un autre territoire.
De l’aveu de la Commission, les nouvelles normes de l’UE en matière de protection des données sont les plus strictes du monde. Qui plus est, ces normes exigent « des entreprises établies en dehors de l’UE qu’elles appliquent les mêmes règles que celles qui sont installées dans l’UE dans le cas où elles offrent des biens et des services dans le domaine des données à caractère personnel ou surveillent le comportement de personnes dans l’Union ».
Établir un diagnostic
Nicolas St-Sauveur, avocat en droit commercial au bureau de Québec de BCF, estime que les entreprises québécoises et canadiennes doivent en premier lieu faire un diagnostic de tout ce qui entoure la collecte, la rétention, l’utilisation, la modification et la suppression des données personnelles. « Pourquoi on parle du RGPD aujourd’hui ? C’est que c’est la loi la plus contraignante encadrant l’utilisation de données à caractère personnel. Si on s’y conforme, il y a de fortes chances qu’on satisfasse toutes les autres », dit-il.
M. St-Sauveur ajoute que la date du 25 mai était importante pour toutes les entreprises qui collectent des données en Europe, mais qu’il ne s’agit pas d’une date butoir. « J’ai discuté avec des collègues européens et tout le monde n’est pas prêt là-bas non plus. L’important, si une entreprise doit fournir des rapports aux autorités, sera de démontrer qu’elle a commencé à mettre différents mécanismes en place », explique-t-il.
La Commission nationale de l’informatique et des libertés (CNIL), autorité administrative qui veillera au respect du RGPD en France, a d’ailleurs publié sur son site web un guide en six étapes pour se conformer au règlement.
La tâche n’apparaît pas simple, mais les entreprises qui veulent profiter au maximum de l’Accord économique et commercial global entre le Canada et l’Union européenne (AECG), entré en vigueur en septembre 2017, ont tout intérêt à s’y conformer. « Pour commencer, les entreprises devraient établir un registre des données et aussi mettre en place, dans la mesure du possible, un programme de sensibilisation des employés à cette nouvelle loi et aux enjeux de protection des données personnelles », ajoute Danielle Miller Olofsson, avocate et chef de l’équipe de protection des données chez BCF.
M. St-Sauveur prévient que les entreprises qui tarderont à se conformer au RGPD s’exposeront à une amende salée, mais également à un risque de financement. Selon lui, les banques canadiennes pourraient exiger, avant d’octroyer un prêt, que l’entreprise montre patte blanche en ce qui concerne leur conformité au RGPD. « Le jour où les banques vont cesser de prêter, vous allez voir les entreprises se conformer en masse », dit-il.
Une démarche exigeante... mais payante
Sophie Deschênes-Hébert, avocate spécialisée en droit du marketing et en protection des renseignements personnels chez Legault Joly Thiffault, estime que les entreprises qui ont déjà fait les travaux nécessaires pour se conformer aux lois sur la protection des renseignements personnels en vigueur au Québec et au Canada ont déjà accompli une bonne partie du travail.
« C’est certain que la réglementation européenne est plus contraignante, mais les lois reposent toutes sur le principe du consentement. Les entreprises qui n’ont pas effectué les travaux pour se conformer aux lois en vigueur ici vont trouver la démarche plus exigeante », dit-elle.
District M, une entreprise de Montréal qui offre des plateformes qui permettent de faire le lien entre les annonceurs et les éditeurs et des services de publicité programmatique, dit avoir travaillé un peu plus de six mois à se conformer au RGPD. L’entreprise qui compte plusieurs clients en Europe se devait d’effectuer ces travaux. « Le travail des éditeurs est un peu plus complexe. Ce sont eux qui sont sur la ligne de front et qui doivent s’assurer de gérer le consentement des individus en ligne », explique Dominic Fortin, directeur des technologies de l’information chez District M.
M. Fortin souligne qu’un élément important prévu dans le règlement stipule que les éditeurs, comme tous les donneurs d’ordres, partageront la responsabilité d’une violation au RGPD d’un fournisseur ou d’un sous-traitant. « Ça comprend les sous-traitants, et aussi les sous-traitants des sous-traitants », précise Mme Deschênes-Hébert.
Un enjeu pour les PME
À la Fédération canadienne de l’entreprise indépendante (FCEI), on estime que 10 % des PME membres font affaire en Europe. « Je ne pourrais pas vous dire combien de nos membres sont en conformité avec le RGPD, mais il reste encore beaucoup de travail à faire », confie Martine Hébert, vice-présidente principale de l’organisation qui compte 110 000 membres. La FCEI entend demander au Commissariat à la protection de la vie privée du Canada de développer des outils pour aider les entreprises canadiennes à se conformer au règlement. « Ça va devenir un enjeu de plus en plus important à mesure que les sociétés du pays vont vouloir saisir des occasions qui sont liées à l’AECG entre le Canada et l’Europe », dit-elle.
Sur le site web du Commissariat, un document daté de février indique qu’il existe des principes fondamentaux communs entre le RGPD et la Loi sur la protection des renseignements personnels et les documents électroniques du Canada, tout en admettant que les lois sont « différentes ». Le Commissariat précise dans le même document qu’il n’est pas responsable d’assurer la conformité au RGPD.
la