Données personnelles au Canada : Comment se préparer au RGPD?

Données personnelles au Canada : Comment se préparer au RGPD?

Votre société fait de la recherche de prospect ? Vous collectez des données les utilisateurs de vos services de manière régulière ? Au vu de vos cibles, ces collectes concernent potentiellement des citoyens européens ? Vous êtes peut-être impacté par le RGPD.

Que vous souhaitiez procéder à votre expansion commerciale à l’international, ou que vous montiez votre premier site de vente en ligne, il ne faut pas oublier l’importance à acc

order au traitement des données personnelles, comme nous vous l’expliquions récemment. Mais surtout, si vous souhaitez que les portes de l’Europe vous soient ouvertes, il va vous falloir être encore plus attentif à ces questions.

En effet le Parlement européen vient d’adopter la législation la plus stricte à l’échelle mondiale, en matière de traitement des données personnelles. Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD ou GPDR) va entrer en application sur le territoire européen, mais avec la vocation de s’appliquer également à l’extérieur de celui-ci, c’est à dire potentiellement à vous. Se conformer aux lois canadiennes ne sera désormais plus suffisant.

Pourquoi votre entreprise canadienne serait-elle concernée par le RGPD? 

Son champ d’application a été fixé très largement : quel que soit l’endroit d’où vous exploitez votre activité, les règles du RGPD s’appliquent à vous dès lors que vous recueillez des données personnelles appartenant à des personnes habitant un État européen. Cette cueillette peut avoir pour but de proposer des produits ou des services (même gratuitement), ou simplement d’analyser des comportements (à des fins commerciales notamment).

[blockquote text="Cette nouvelle législation a été rédigée en prenant en compte le fait qu’internet n’a pas de frontières" text_color="#085b5c" width="" line_height="undefined" background_color="" border_color="" show_quote_icon="no" quote_icon_color=""]

Il est donc très probable que vous deviez vous conformer à ces nouvelles règles, dès lors que vous envisagez de procéder à du traitement de données personnelles.

Quelles sont les données protégées ? Comment ?

Le RGPD vient encadrer le traitement automatisé totalement ou partiellement,  de toute information se rapportant à un individu identifié ou identifiable, via un nom, numéro, identifiant en ligne, courriel ou encore photos, habitudes de navigation sur internet, adresse, et autres informations, telles que les caractéristiques physiques ou culturelles suffisant à établir un lien avec la véritable identité de la personne, et recueillie dans un but commercial.

Pour respecter ces nouvelles règles, il vous faudra être très vigilant sur la manière de traiter ces données. Ainsi, ledit traitement se doit d’être, selon les mots du Parlement européen, « loyal et transparent ». Il ne doit absolument être fait que dans un but précis, lequel aura été expliqué clairement au moment où vous procédez au recueil des données. Ainsi, pour envoyer une infolettre, vous ne pourrez récolter qu’une adresse mail et un nom.

Les données recueillies doivent être exactes, et dans le cas contraire, doivent pouvoir être effacées ou rectifiées le plus rapidement possible sur demande. De plus, il n’est pas possible de conserver ces données trop longtemps, et le traitement devra nécessairement être sécurisé et confidentiel.

Enfin, c’est à vous qui effectuez le traitement, de démontrer que vous respectez bien toutes ces exigences, notamment via la mise en place de mesures organisationnelles et/ou techniques.

 


Conseil pratique

Si votre entreprise possède déjà une politique de confidentialité, n’hésitez pas à informer vos clients par courriel de votre mise en conformité avec le RGPD. Vous pouvez ainsi leur expliquer brièvement ce qui change pour eux : simplification de l’accès aux données, facilitation des démarches de suppression des données, possibilité de demande de copie, …


 

Consentement et licéité du traitement

Un autre point essentiel : dès lors que vous souhaitez réaliser un traitement de données, il va falloir vous assurer d’obtenir l’accord des personnes concernées. Cet accord doit vous être donné en parfaite connaissance de cause et par écrit. Avant de donner son consentement, la personne dont vous envisagez le recueil et le traitement des données personnelles doit être, nous vous le rappelons, parfaitement informées de l’utilisation qui en sera faite.

Vous ne pouvez pas non plus imposer cet accord. Par exemple, si votre entreprise vend des chaussures, il est impossible d’exiger que votre client vous transmette toutes ses infos personnelles (autres que celles nécessaires à la livraison de ses chaussures chez lui), avant d’accepter de procéder à la vente. Il doit consentir librement à vous donner ses informations, dès lors qu’elles ne sont pas essentielles au bon déroulement de votre service.

Enfin, ce consentement doit pouvoir être retiré aussi facilement qu’il a été accordé : il faut donc mettre en place des moyens adaptés à cette exigence.

Il convient de ne pas prendre ces exigences à la légère. En effet, le Parlement européen a prévu un certain nombre de sanctions très sévères à l’attention de ceux qui ne les respecteraient pas.

Des autorités de contrôle vont être mises en place, afin de s’assurer du respect du RGPD. Celles-ci pourraient vous imposer des limitations dans le traitement des données, voire vous l’interdire complètement.

Au-delà de cette sanction commerciale, qui vous priverait du marché européen, vous pourriez vous voir imposer une amende pouvant atteindre jusqu’à 20 millions d’euros (environ 30 millions de CAD), ou 4% de votre chiffre d’affaires annuel (sachant que c’est le montant le plus important des deux qui sera recherché). De plus, elle n’empêche pas un de vos utilisateurs mécontents de vous poursuivre en parallèle devant les tribunaux.

 


Conseil pratique

La gestion de vos données client est un processus complexe, encore plus maintenant. C’est pour cela que de nombreux acteurs conseillent d’employer un Officier de Protection des Données. Cependant, il n’est pas forcément possible ni pertinent d’employer à temps plein une telle personne. Il existe des Officiers externes, qui agiront pour vous comme un prestataire de service et vous simplifieront la tâche.


 

Les droits de vos clients

En résumé, le RGPD offre à vos clients ou utilisateurs européens, une protection très importante.

Ainsi, il est désormais possible pour un utilisateur dont les données ont été récoltées de s’opposer au traitement (par exemple, de refuser que ses données soient utilisées pour un profilage). Vous ne pourrez pas non plus vous opposer à ce qu’un de vos clients vous demande de rectifier ses données, ou encore de lui communiquer tout ce que vous possédez sur lui.

Il vous faut également être conscient que contrairement aux citoyens canadiens, le citoyen européen bénéficie désormais d’un droit à l’oubli (ou droit d’effacement), et que vous devrez le respecter. Comment cela fonctionne-t-il ?

Rappelez-vous que lorsque vous constituez un fichier de données sur un de vos clients, vous informez celui-ci de la raison particulière qui vous pousse à recueillir ces données. Désormais, dès lors que le but du traitement a été atteint ou n’a plus lieu d’être, votre client pourra vous demander l’effacement des données que vous possédez. Il est prévu que ce droit doit pouvoir être exercé aussi simplement qu’il a été simple de procéder à la collecte.

Et la distance ?

Cependant, pour votre entreprise canadienne, comment assurer simplement ce traitement à plus de 6000 kilomètres du marché européen ?

Le Parlement européen s’est montré particulièrement soucieux à ce sujet. Il est donc obligatoire pour toute entreprise concernée par le RGPD, et donc pour la vôtre potentiellement, d’avoir un représentant sur le territoire d’un État européen. Rassurez-vous cependant : ce représentant est obligatoire dès lors que le traitement que vous réalisez n’est pas simplement occasionnel. Ainsi, pour un traitement ponctuel de données personnelles, vous en serez dispensé.

C’est ce représentant qui va être chargé pour votre compte d’assurer la communication entre les divers acteurs : il va recueillir pour vous toutes les demandes de rectification, d’accès, d’effacement, et vous les transmettre. Parallèlement, c’est lui qui sera en communication avec les autorités européennes afin de vous faire parvenir les informations nécessaires, ou encore d’éventuelles plaintes. Il va bien entendu être possible d’avoir recours à des entreprises spécialisées en représentation qui seront aptes à vous accompagner dans votre implantation en Europe.

Notez également que le RGPD impose que toute entreprise qui constate une violation des données doive en avertir ses clients dans les 72 heures, ainsi que les autorités de contrôle au niveau européen. On comprend donc l’importance d’un vrai système de gestion des données, et d’un représentant en charge de la communication au niveau européen.

Comment se préparer ?

Tout cela vous semble insurmontable ? Rassurez-vous.  Vous n’êtes pas seuls, et il existe un certain nombre d’outils  et de partenaires pour vous faciliter la tâche.

Par exemple, de nombreuses compagnies mais aussi des organismes représentant les sociétés européennes vont mettre en place des chartes de bonne conduite et des certifications, qui seront validées par les autorités européennes. Ces outils vous permettront d’être informés des grandes lignes permettant de garantir le respect des droits de vos utilisateurs en matière de données personnelles, et de minimiser via la compliance vos risques juridiques. En effet, l’un des points au cœur de cette nouvelle réglementation est bel et bien l’information et la transparence sur les mécanismes de garanties que vous mettez en place. Se référer et se conformer à un Code de conduite est donc une bonne solution.

De plus, le RGPD prend en compte le décalage entre les moyens d’une multinationale et ceux d’une PME. Il existe donc un certain nombre de dérogations et de simplifications dont vous pourriez bénéficier. Le mieux est de choisir un partenaire adapté et spécialisé situé directement en Europe.

Si vous n’êtes pas encore en conformité : nous travaillons fort pour vous proposer un produit adapté à votre situation. Renseignez votre adresse email et nous vous contacterons dès que notre kit sera disponible !

[gravityform id="56" title="false" description="false" ajax="false"]

 


Le saviez-vous ?

Ces nouvelles règles ont été envisagées afin d’augmenter les garanties accordées aux particuliers sur le traitement des données divulguées sur internet. Nous avons tous vu passer sur nos réseaux sociaux ces quelques mots : #deletefacebook. Au cœur de ce scandale : l’utilisation et le détournement des données de plus de 50 millions d’utilisateurs Facebook,  par la société Cambridge Analytica, afin de réaliser un profilage et un ciblage dans le but d’influencer le vote d’électeurs américains lors de la dernière campagne électorale. Lorsque cette affaire a éclaté au grand jour, la compagnie Facebook a été pointée du doigt pour n’avoir pas su, encore une fois, protéger les données de ses usagers. Ce n’est pourtant pas le seul acteur économique à ne pas accorder assez d’importance à la problématique du traitement des données personnelles, et c’est pourquoi l’Union européenne a décidé d’agir.

 

Viktor Boyer

Tags: Articles juridiques, Site Internet et application mobile, Tous les articles

BESOIN D'AIDE? DÉTERMINEZ VOS BESOINS AVEC UN MEMBRE DE NOTRE ÉQUIPE

IDENTIFIEZ VOS BESOINS