Publications

Le 14 avril 2016, l’Union Européenne (« l’Union ») a adopté le Règlement sur la protection des données (RGPD), devenu applicable depuis le 25 mai 2018. Afin de se conformer au RGPD, plusieurs entreprises, Européennes ou toute entreprise faisant affaires avec l'Europe, ont entrepris de réviser leurs politiques de collecte de données et de confidentialité. 

S’il s’agit d’une norme européenne, pourquoi est-ce important d’en parler ici, au Canada? Si auparavant, une entreprise canadienne devait uniquement veiller au respect de la règlementation canadienne, ce n’est désormais plus suffisant dans bien des cas. En effet, pour faire affaires avec une clientèle d’un peu partout dans le monde, y compris dans l’Union, leur présenter du contenu ou leur fournir des biens et services, il devient nécessaire de respecter les lois et règlementations applicables en ces endroits.

Le RGPD s’applique à quiconque, qu’il soit établi ou non dans l’Union, traite¹des données à caractère personnel²relatives à des personnes qui se trouvent dans l’Union, lorsque ce traitement est lié à l’offre de biens ou de services à ces personnes, ou que ce traitement est lié au suivi du comportement de ces personnes.

Ainsi, les entreprises faisant du commerce en ligne sont particulièrement susceptibles d’être visées par le RGPD, mais le sera aussi toute entreprise interagissant avec des personnes qui se trouvent dans l’Union, sans qu’il soit nécessaire qu’il y ait une transaction monétaire. 

Plusieurs obligations découlent de l’application du RGPD, dont voici une liste des principales : 

1. Les entreprises traitant des données à caractère personnel doivent obtenir un consentement libre, éclairé et spécifique des personnes visées avant tout traitement (i.e. pas de case cochée automatiquement, pas de clause dissimulée dans un long contrat, etc.)
   
   
2. Toute entreprise doit agir de manière à permettre aux personnes visées d’exercer certains droits octroyés par le RGPD;
   
   
3. Le droit d’être informé gratuitement du traitement du traitement qui est fait de leurs données à caractère personnel;
   
   
4. Le droit que les données à caractère personnel les concernant soient effacées sur demande (droit à l’oubli);
   
   
5. Le droit de consulter les données à caractère personnel les concernant qui sont collectées par les entreprises;
   
   
6. Toute entreprise doit être en mesure de démontrer sa conformité avec le RGDP, par l’utilisation d’une politique de confidentialité et par la désignation d’un responsable du traitement des données à caractère personnel;
   
   
7. Toute entreprise qui effectue un traitement plus qu’occasionnel de données à caractère personnel doit désigner un représentant dans l’Union à qui peut s’adresser l’autorité de contrôle au besoin;
   
   
8. Toute entreprise devra tenir un registre des activités de traitement, comprenant une multitude d’informations dont les informations traitées et les finalités du traitement;
   
   
9. Toute entreprise doit notifier l’autorité de contrôle dans les 72 heures suivant toute violation des données à caractère personnel, décrivant la violation ainsi que les mesures prises pour remédier à la situation. Toute entreprise doit aussi informer la personne concernée dans les meilleurs délais.

Le non-respect d’une des obligations découlant du RGPD expose toute entreprise à une amende pouvant atteindre 20 millions d’Euros, ou 4% de son chiffre d’affaires mondial annuel, le plus haut des deux. 

Afin de réviser vos politiques de confidentialité et veiller à la conformité de votre entreprise avec le RGDP, ou pour toutes questions, vous pouvez contacter notre équipe et il nous fera plaisir de vous aider.

¹Le traitement de données s’entend de la collection, de l’utilisation ou du partage desdites données.

²Une donnée à caractère personnel s’entend d’une information se rapportant à une personne physique, i.e. un nom, un identifiant, une donnée de localisation, une adresse courriel, etc.