Arrivée du RGPD en Europe … et au Canada !

A+ A- A

Le RGPD : entrée en application d’une règlementation incontournable pour les entreprises
canadiennes
Le Règlement général européen sur la protection des données personnelles (dit « RGPD ») est entré en application le 25 mai 2018 et il y a de fortes chances que les entreprises canadiennes, publiques ou privées, quelle que soit leur taille, soient concernées. En effet, le RGPD a considérablement étendu la portée et le périmètre géographique des règles de protection des données personnelles, bien au-delà des seuls Etats membres de l’Union Européenne. Les avocats canadiens sont bien entendu aux premières loges aux côtés de leurs clients. Désormais, outre les organisations implantées dans l’Union Européenne, sont soumises au RGPD toutes celles dont les offres visent des résidents européens, ou qui suivent leur comportement (profilage) même depuis l’étranger, ou encore qui agissent comme sous-traitants, pour le traitement de données personnelles au profit d’entreprises situées dans l’Union Européenne.

L’objectif de ce règlement est bien d’harmoniser les règles de protection entre les régimes juridiques de tous les Etats membres de l’Union Européenne en s’y appliquant directement. Toutefois, le RGPD a laissé aux Etats membres la possibilité d’ajouter des conditions ou des limitations dans leurs législations nationales sur plus d’une cinquantaine de zones de subsidiarité comme, par exemple, la santé ou les ressources humaines. Autant de régimes nationaux qu’il faudra donc vérifier au cas par cas selon les zones et secteurs ciblés par les projets de développement ou les activités de l’entreprise. Un certain nombre d’Etats membres sont d’ailleurs en retard dans l’adoption de leur texte national, tout comme beaucoup d’entreprises, dans leur mise en conformité… Pourtant, il s’agit d’un texte majeur pour la protection des données des individus avec un périmètre large, puisqu’il concerne le traitement de données personnelles, à savoir toute forme d’opération appliquée à toute« toute information se rapportant à une personne physique identifiée ou identifiable, de manière directe ou indirecte » comme, par exemple ses nom, adresse personnelle, adresse électronique, données de localisation, adresse IP, etc.. Même s’il oblige à une phase préliminaire d’investissements importants liés à sa mise en oeuvre, il sera générateur de valeur et de confiance pour les acteurs qui l’auront intégré.

Sous ce nouveau régime, il n’y a plus de formalités préalables (à quelques exceptions près, notamment pour certains traitements de données sensibles) : les entreprises devront pouvoir justifier à tout moment et en toute transparence, de leur conformité à la nouvelle réglementation. Pour faire face à un nombre toujours croissant de technologies récoltant des masses de données de manière interconnectée, le RGPD exige désormais le plus haut niveau possible de protection dès la conception des projets et des technologies et que le traitement garantisse par défaut le plus haut niveau possible de protection. Pour de multiples entreprises, un registre spécifique doit être tenu (à la fois des traitements et des failles) et un Délégué à la Protection des Données (DPO), nommé (en interne ou de façon externalisée).

Tandis que les obligations des responsables de traitement et des sous-traitants sont renforcées, les individus voient leurs droits réaffirmés (notamment leur consentement) et en acquièrent de nouveaux (notamment portabilité, oubli, recours collectifs…), qu’il faut pouvoir mettre en oeuvre en en vérifiant les conditions d’éligibilité.

Autre nouveauté d’importance, les entreprises qui collectent et traitent des données personnelles en violation du RGPD seront sujettes à des sanctions désormais potentiellement très lourdes, et encourent notamment des amendes pouvant s’élever jusqu’à 10 ou 20 millions d’euros ou 2% à 4% du chiffre d’affaires annuel global (les seuils variant selon les natures d’obligations). En cas de violation des obligations en matière de données dites sensibles (santé, génétique, syndicale, religieuse etc.) ou de transferts internationaux de données personnelles, ce sont les sanctions les plus élevées qui s’appliqueront. D’autres sanctions, comme par exemple la publication des mises en demeure ou des condamnations ou l’obligation de supprimer tout ou partie des bases de données ou de renoncer à leur traitement, pourront également s’appliquer.

Il n’est pas trop tard…
Il est loin d’être trop tard pour se mettre en conformité avec ces nouvelles obligations. Le 25 mai n’est pas une date « couperet » pour les autorités de protection, mais plutôt une étape incitant désormais toutes les entreprises concernées à se mettre en ordre de marche vers la conformité. D’ailleurs, une période de « tolérance » d’environ 3 ans a été annoncée par certaines autorités, comme la CNIL en France, pour mettre en place les nouveaux outils du RGPD. Mais, durant cette période, les entreprises devront a minima, pouvoir justifier à tout moment des réels efforts qu’elles déploient pour atteindre le niveau de protection exigé.

Un statut privilégié pour les entreprises canadiennes actuellement en discussion Bien entendu, les entreprises de l’Union Européenne sont les premières cibles du RGPD, mais les entreprises non européennes peuvent également y être soumises, comme nous l’indiquons plus haut. Ainsi, un grand nombre d’entreprises canadiennes sont tenues de se conformer aux exigences spécifiques du RGPD soit en tant que responsable de traitement de données, soit en tant que soustraitant en charge de ce traitement pour le compte d’entreprises – de quelque nationalité qu’elles soient – qui y sont également soumises en tant que responsables de traitement.

Au-delà de ces exigences, le RGPD prévoit des obligations relatives au transfert de données vers des pays extérieurs à l’Union Européenne. En matière de transfert international, le RGPD distingue principalement trois types de pays :

  • les pays qui sont reconnus par l’Union Européenne comme bénéficiant d’un niveau de protection adéquat pour les données personnelles : plus d’une dizaine de pays sont actuellement concernés, parmi lesquels le Canada ;
  • le Etats-Unis, qui bénéficient d’un accord dérogatoire spécifique, dit du Privacy Shield, (mais qui est remis en cause par un certain nombre d’acteurs dont les députés européens ou au niveau national) ;
  • tous les autres pays du monde, qui n’ont pas un niveau de protection jugé adéquat.

Pour établir cette qualification, la Commission européenne analyse le régime de protection des données du pays en question et décide si celui-ci est au moins équivalent à celui de la législation de l’Union Européenne : Etat de droit, respect des droits de l’homme et des libertés fondamentales, législation en matière de protection des données personnelles, existence et fonctionnement effectif d’une autorité de contrôle indépendante, etc.

Entre l’Union Européenne et ces pays de confiance, la circulation des données personnelles est libre tant qu’elle est réalisée dans le respect des obligations de la législation européenne et de la législation du pays en question. En revanche, dans le cas inverse, les entreprises souhaitant réaliser des transferts à l’étranger, même à l’intérieur d’un groupe, doivent mettre en place de garanties supplémentaires, telles que notamment : l’adoption de clauses contractuelles types établies selon les modèles de la Commission européenne ou des autorités de protection locales, l’adoption de règles d’entreprise contraignantes ou encore l’adhésion à certains codes de conduite ou mécanismes de certification.

En 2002, la Commission européenne a reconnu que la loi canadienne sur la protection des renseignements personnels et les documents électroniques assurait une protection appropriée pour les traitements réalisés dans le cadre d’activités commerciales. Pour l’instant, les décisions de reconnaissance de niveau de protection adéquat prises sous l’empire de la directive européenne de 1995 sur la protection des données personnelles demeurent en vigueur jusqu’à ce qu’elles soient modifiées ou remplacées par une nouvelle décision de la Commission européenne.

Le Canada jouit donc actuellement du statut de pays garantissant un tel niveau de protection adéquat, ce qui facilite les transferts de données personnelles de l’Union Européenne vers le Canada pour les entreprises agissant entre ces deux régions. Ce statut sera maintenu au moins jusqu’à ce que l’Union Européenne décide d’effectuer une nouvelle évaluation de l’adéquation, ce qui devrait avoir lieu dans les prochaines années, comme pour tous les autres pays de confiance. Le statut privilégié du Canada n’est toutefois pas garanti en l’état de la législation étant donné que le RGPD contient des exigences plus strictes en matière de protection des données que celles en vigueur sous l’ancienne directive de 1995, et notamment un renforcement de la protection du consentement, l’obligation de notifier les failles de sécurité, d’établir des analyses d’impact sur la vie privée pour les traitements à risque élevés, une obligation de transparence accrue, de nouveaux droits comme le droit à l’oubli ou la portabilité, etc.
Les entreprises canadiennes doivent enclencher le processus de mise en conformité au RGPD

En toutes hypothèses et compte tenu des enjeux déterminants qu’il présente, les entreprises canadiennes concernées doivent réaliser les démarches nécessaires pour se mettre en conformité avec les nouvelles obligations du RGPD dans les meilleurs délais. Ces efforts seront de futurs atouts, à commencer par la valorisation du capital « données » de l’entreprise, la confiance de l’ensemble des acteurs ou une meilleure organisation des processus internes. Il ne s’agit plus de se demander si ce processus « doit » être enclenché, ni quand il doit l’être, mais « comment » le mener à bien le plus efficacement possible.

Les récentes avancées dans le développement des échanges entre le Canada et l’Europe – et particulièrement la France – encouragent d’ailleurs à agir en ce sens, avec par exemple la Déclaration franco-canadienne sur l’intelligence artificielle2 ou la création du « Fonds Transatlantique » doté de 75M€ dédiés à l’investissement dans les entreprises canadiennes ou françaises prêtes à développer leurs activités sur les deux continents.

 

2

Cécile Théard-Jallu – Associée (ctheardjallu@dgfla.fr – @CecileJallu)
Experte en droit commercial, des nouvelles technologies et de la propriété intellectuelle, Cécile Théard-Jallu intervient depuis près de 20 ans pour des entreprises internationales ou européennes du secteur privé et des acteurs publics, dans le secteur de la recherche et de l’innovation, notamment en sciences de la vie (en particulier la santé connectée), dans l’industrie, la mobilité durable, l’énergie ou les services. Elle conseille ses clients sur l’ingénierie, la négociation et la mise en oeuvre de leurs contrats commerciaux, informatiques, industriels ou technologiques (dont la R&D, les transferts d’actifs, le licensing …) ainsi que de leur stratégie numérique, y compris pour la protection des données personnelles dans le cadre du RGPD ou en intelligence artificielle. Elle a travaillé pendant environ un an à Washington DC en tant qu’avocat en détachement au sein du cabinet Covington & Burling LLP ainsi qu’en détachement pour l’un des acteurs mondiaux du secteur de l’équipement médical. Elle est membre des groupes « Santé / Sciences de la vie » et « Technologie » de l’International Bar Association (IBA) et figure au sein du classement international Best Lawyers, dans les rubriques « Biotechnonologies » et « Technologies de l’information » pour la France.

1
Xavier Vuitton – Of Counsel (xvuitton@dgfla.com)
Avocat aux barreaux de Paris et du Québec, docteur en droit et professeur associé à l’Université Paris XII, il intervient régulièrement comme témoin-expert devant les tribunaux au Canada et aux États-Unis pour faire la preuve du droit français et européen.