Le Règlement général sur la protection des données (« RGPD ») porte sur la protection des données à caractère personnel des individus au sein de l’Union Européenne (« UE ») et est applicable depuis le 25 mai 2018.
Les entreprises canadiennes y sont assujetties si elles ont un établissement au sein de l’UE ou si elles traitent des données personnelles de résidents européens dans le cadre d’activités visant à suivre le comportement de résidents de l’UE par le profilage ou visant à leur offrir des biens ou des services.
Les entreprises assujetties ont, notamment, les obligations suivantes :
- elles doivent prendre en compte les exigences relatives à la protection des données personnelles dès la conception des produits et services exploitant des données à caractère personnel et disposer d’un système d’information sécurisé;
- elles doivent pouvoir démontrer que l’individu concerné a donné un consentement manifeste, libre, éclairé et à des fins spécifiques;
- dans certains cas, elles doivent obligatoirement désigner un délégué à la protection des données;
- toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs à la protection des données personnelles;
- elles sont tenues de notifier, dès que possible, l’autorité nationale de protection concernée en cas de violation grave de données.
Afin d’être conforme au RGPD et, ainsi, éviter des sanctions financières d’un montant représentant soit jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), il est recommandé aux entreprises assujetties :
- d’élaborer des codes de conduite et des politiques de confidentialité internes;
- de réviser leurs contrats d’emploi;
- de nommer un représentant à la protection des données personnelles, au sein de l’UE;
- de tenir un registre détaillé des traitements des données personnelles;
- d’identifier les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des individus concernés et de mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données; et
- de mettre en place des procédures en cas d’incidents de sécurité.
Les entreprises canadiennes non assujetties seront, tout de même, amenées contractuellement à se conformer au RGPD si leurs clients y sont assujettis. Il est également fort probable que les lois canadiennes évoluent en ce sens.
Par Mélanie Masson