RGPD et Canada: explications et solutions
L’accélération du développement du numérique et des technologies depuis le début du siècle, touche toutes les sphères de nos vies. Nous devons fournir de façon souvent implicite de plus en plus de données en rapport avec notre vie privée. Que ce soit pour effectuer une transaction ou quand nous naviguons sur Internet, nos informations personnelles sont stockées afin d’être utilisées plus tard. La moindre action permet la collecte de données. Tenez, au moment-même où vous lisez ce billet, les serveurs récoltent vos données.
Que celui qui n’a jamais été bombardé de publicités pour une marque de chaussures seulement trente secondes après s’être renseigné sur la dernière paire de baskets à la mode lève la main. J’aimerais bien vous répondre que c’est une coïncidence mais ce serait mentir. Près de 75% des sites et des applications que nous utilisons collectent des données nous concernant. Identité, localisation, type d’appareil utilisé, tout est information (source). Et ce, sans nécessairement que l’utilisateur en soit avisé.
Mais alors quelles sont les solutions mises en place pour protéger ces données ? Et comment se positionne le Canada par rapport à leur protection ?
Données personnelles : partout et tout le temps !
Dès que nous utilisons Internet, nous partageons tout un tas de renseignements nous concernant sans forcément nous en apercevoir. Chaque connexion, chaque clic, permet de récolter des données appelées « personnelles » et « sensibles ». Elles seront traitées (et retraitées) à des fins souvent commerciales, parfois de surveillance.
Par exemple, une donnée dite à caractère personnel est toute information relative à une personne physique susceptible de pouvoir l’identifier, de façon directe ou indirecte. Un nom, une trace ADN ou bien une photographie constituent des éléments évidents pour l’identification d’une personne (source Numerama). Pourtant des données que nous pensions anonymes (adresse IP, connexion à Internet, …) sont aussi des moyens de nous identifier. Celles-ci laissent des traces informatiques.
Parmi ces données personnelles, il en existe une sous catégorie à caractère particulièrement intime : les données sensibles. En effet, ces informations (origine ethnique, orientation sexuelle, opinions politiques, état de santé, …) peuvent être utilisées pour discriminer certains individus.
Bien qu’il faille une autorisation pour collecter des données personnelles et sensibles, il est nécessaire de règlementer cette récolte.
Le RGPD, comment ça fonctionne ?
C’est dans ce contexte bien particulier que l’Union Européenne a mis en place cette année le RGPD : le Règlement Général sur la Protection des Données. Adopté le 14 avril 2016, le règlement n°2016/679 n’est cependant entré en vigueur que le 25 mai 2018. Ce délai avait pour but de permettre aux organismes et entreprises de s’y conformer. Il fait suite à la directive n°95/46/CE concernant la protection des données personnelles datant de 1995. En effet, avec l’explosion du numérique et des nouvelles technologies, il était nécessaire de la mettre à jour.
Par ce nouveau règlement, chaque individu a le droit de regard sur les données collectées sur lui. Il peut demander à savoir comment elles sont utilisées, à ce qu’elles soient corrigées ou effacées (« droit à l’oubli« ). Le citoyen peut également refuser une utilisation ou demander des comptes.
Pour cela, les entreprises doivent être en mesure de prouver qu’elles sont capables de protéger ces informations. Elles doivent également demander l’autorisation de récolter ces données. Comme exemple d’application, il y a notamment le bandeau précisant l’utilisation de cookies. Les visiteurs peuvent refuser leur utilisation sur les sites web soumis à la législation européenne.
Depuis le 25 mai 2018, les entités ayant recours au traitement des données personnelles sont passibles de sanctions en cas de non-respect du RGPD. Les sanctions encourues sont graduelles. Du simple avertissement en passant par la suspension temporaire des traitements, les sanctions peuvent rapidement grimper. Elles peuvent s’élever à 300 000 euros (450 000 CAD) d’amende et 5 ans d’emprisonnement pour les sanctions pénales et 20 millions d’euros (30 millions CAD) ou 4% du chiffre d’affaires mondial pour les sanctions administratives.
Et le Canada dans tout ça ?
Le RGPD ne se restreint pas aux frontières de l’Europe. Il concerne tous les pays qui récoltent et traitent des données personnelles d’Européens. Et je ne vous apprends rien quand je vous dis que le Canada n’est pas en Europe. Il est donc dans l’obligation de se conformer aux nouvelles directives du règlement s’il veut continuer à collecter des données personnelles en Europe.
Même si le Canada est reconnu pour ces règlementations relatives à la protection des données personnelles, il reste du chemin aux entreprises pour être conformes au RGPD. Cette mise en conformité est un processus lent et qui entraine de profonds changements mais elle est fondamentale pour l’avenir du commerce international.
Les entreprises canadiennes doivent donc passer par différentes étapes indispensables à cet alignement législatif. Mais le plus important à retenir c’est que la protection de nos données personnelles se fait essentiellement par la coopération des différents services (juridique, technologies de l’information, innovation, …).
Le RGPD est donc une solution au problème de protection des données. Maintenant, la question est de savoir pour combien de temps ce règlement sera d’actualité car il tend à se durcir avec l’innovation technologique.
Brunissen Gincourt
Sources:
Finerty D., « RGPD et entreprises canadiennes : préparez-vous », SAS.
Récupéré de : https://www.sas.com/fr_ca/insights/articles/data-management/local/gdpr-canadian-business.html
Commission Européenne, Principe du RGPD(consulté en octobre 2018).
Récupéré de : https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_fr
Lausson J. (2018, 21 juin), RGPD : 10 questions pour comprendre le nouveau règlement sur la protection des données. Numérama.
EUR-Lex, Règlement Général sur la Protection des Données(consulté en octobre 2018).
Récupéré de : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
CNRS, Qu’est-ce qu’une donnée personnelle ? (consulté en octobre 2018)
Récupéré de : http://www.cil.cnrs.fr/CIL/spip.php?rubrique300