Article Répercussions du RGPD sur l’industrie canadienne des services financiers
Par Insight Editor / 24 Apr 2018
Le 14 avril 2016, l’Union européenne (UE) a adopté le Règlement général sur la protection des données (RGPD) dans le cadre d’une refonte en profondeur de sa législation sur la protection de la vie privée pour le traitement des données personnelles (c’est-à-dire la Directive sur la protection des données de 1995).
Qu’est-ce que le RGPD ?
Le RGPD vise à renforcer considérablement les droits des citoyens de l’UE en matière de protection des données personnelles en ligne, en particulier dans les situations où l’on attend d’eux qu’ils soumettent des informations à un site web ou à un fournisseur pour quelque raison que ce soit. Bien qu’institué dans l’UE, le RGPD s’applique en fait à toutes les entreprises et organisations dans le monde qui traitent avec les citoyens de l’UE et leurs données.
Le RGPD est entré en vigueur le 25 mai 2018.
Le RGPD est-il pertinent pour le secteur canadien des services financiers ?
Pour le secteur des services financiers au Canada, le RGPD est très pertinent. Les grandes banques canadiennes exercent leurs activités dans l’UE à diverses fins, notamment pour faciliter les investissements étrangers directs, gérer les investisseurs locaux et gérer les transactions entre les citoyens et les entreprises de l’UE et leurs homologues canadiens.
Dans chacun de ces cas, les données personnelles des citoyens de l’UE sont recueillies et traitées par des prestataires de services financiers canadiens. Toutefois, selon la situation, ces données peuvent également être transmises au Canada et à d’autres pays non membres de l’UE. Par exemple, une entreprise peut faire héberger sa base de données d’abonnés à son infolettre dans un centre de données américain par l’intermédiaire d’un hébergeur infonuagique externe.
Les sociétés canadiennes de services financiers peuvent également être touchées par des répercussions secondaires sous la forme de la gestion d’opérations entre des sociétés au Canada et dans l’UE. Il n’y a pas de limite à la portée de l’accord compte tenu de l’ampleur des exportations du Canada vers l’UE, qui ont totalisé 45 milliards de dollars en machines, produits chimiques et pharmaceutiques ainsi qu’en matériel de transport entre autres.
Outre des exigences strictes, le RGPD prévoit également des mesures punitives pour les entreprises qui ne se conforment pas correctement à ses exigences. En fonction de la gravité de votre infraction, vous pourriez être passible d’une amende pouvant atteindre 20 millions d’euros par infraction.
Est-ce que les entreprises du Canada sont conformes au RGPD ?
Les entreprises qui se conforment aux lois canadiennes sur la protection des données personnelles — c.-à-d. la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) — se conforment en partie au RGPD.
En fait, la LPRPDE a permis au Canada d’être l’un des 12 pays reconnus par l’UE pour le maintien de lois « adéquates » en matière de protection de la vie privée par rapport au RGPD. Grâce à ce statut, les entreprises canadiennes sont autorisées à transférer les données des citoyens de l’UE au Canada sans garanties supplémentaires.
Toutefois, le statut « adéquat » du Canada ne suffit pas pour qu’une entreprise canadienne puisse démontrer qu’elle se conforme au RGPD. En réalité, il existe des différences clés entre la LPRPDE et le RGPD en ce qui concerne la façon dont cette dernière régit le consentement de l’utilisateur et la mobilité des données.
Dans l’ensemble, le RGPD accorde la priorité à la protection de deux flux de données :
(1) les données personnelles telles que le nom, l’adresse électronique et le lieu de résidence d’une personne, et
(2) les données sensibles, qui peuvent inclure, entre autres, la religion, l’affiliation politique et l’orientation sexuelle d’une personne.
Pour se conformer au RGPD, l’industrie canadienne des services financiers devra renforcer sa gestion des données des utilisateurs et documenter tous les processus de collecte et de gestion des données des utilisateurs des citoyens de l’UE. Elle doit également se conformer strictement aux lois de l’UE sur la protection de la vie privée. En effet, les entreprises doivent concevoir de manière proactive une stratégie de protection de la vie privée conforme au RGPD qui tienne compte de tous les risques et exigences définis par l’UE. Cela inclut également la nomination d’un délégué à la protection des données.
Que faut-il faire pour se conformer au RGPD ?
Gestion des données et documentation
En vertu du RGPD, les entreprises canadiennes doivent tenir des registres complets de tous les traitements internes et externes de données personnelles. Le processus de documentation est éprouvant en ce sens qu’il nécessite la création d’une évaluation des facteurs relatifs à la vie privée (EFVP).
L’EFVP doit identifier les menaces qui pèsent sur votre système de sécurité et documenter la façon dont vous avez réagi à ces menaces. Il doit également préciser comment les utilisateurs divulgueront leurs données et documenter la façon dont vous les conserverez et les traiterez, ce qui comprend l’identification des personnes qui auront accès à ces données. Vous devez également préciser comment les utilisateurs peuvent modifier et supprimer leurs données.
Le secteur des services financiers s’appuie sur les données personnelles pour de nombreuses fonctions commerciales clés, comme la vérification des renseignements personnels pour détecter les fraudes et pour personnaliser les offres aux clients. Le RGPD aura une incidence sur la façon dont une société de services financiers peut exploiter ces données à ces fins en permettant aux propriétaires de données de supprimer ou de s’opposer à la communication de renseignements clés.
En cas de violation de données personnelles, le RGPD exige que l’entreprise informe les personnes concernées de la violation dans les 72 heures. Lorsque l’entreprise fait appel à une société externe pour recueillir des données (p. ex. une banque pour traiter les paiements en ligne), elle doit également aviser cette société externe de la violation. De même, l’entreprise externe doit également aviser l’entreprise en cas de violation des données de son côté.
Droits à la vie privée dans l’UE
Le RGPD permet aux citoyens de l’UE de demander l’effacement de leurs données stockées dans votre système. Dans un tel scénario, le RGPD exige que chaque entreprise canadienne qui possède les données de ce citoyen efface ces données sans délai.
Par exemple, un consommateur peut demander à une entité canadienne de commerce électronique de supprimer ses données personnelles ; dans ce processus, l’entité canadienne de commerce électronique non seulement supprimera l’information à sa fin, mais son fournisseur de paiement électronique devra également le faire.
Le RGPD exige des entreprises qu’elles agissent explicitement dans leur demande de données concernant un citoyen de l’UE. La souplesse du RGPD en ce qui a trait au « consentement implicite » n’est pas applicable au RGPD, de sorte que vous ne pouvez pas « regrouper » plusieurs demandes de données en un seul clic de bouton ; vous devez demander l’autorisation séparément pour chaque donnée tout en donnant à l’utilisateur le droit de s’opposer à remplir une ou l’autre des données. En tant que « propriétaire des données », l’utilisateur peut également s’opposer à ce que ses données soient traitées en dehors de l’UE et que les choix faits par rapport à ses données soient automatisés.
En cas d’atteinte à la protection des données, l’entreprise concernée doit aviser les organismes de réglementation et les particuliers dans les 72 heures. Toutefois, en cas d’enquête, les autorités de réglementation de l’UE pourraient demander toute documentation relative aux processus de collecte et de gestion des données de votre entreprise, y compris l’EFVP.
Il est clair que des changements considérables sont nécessaires pour se conformer à l’exigence du RGPD d’aligner vos processus de collecte et de gestion des données à cette réglementation. Vous n’êtes pas seulement affecté d’un point de vue strictement légal, qui exige de modifier la manière dont vous demandez et gérez les données, mais aussi du point de vue des processus d’exploitation de votre entreprise.
Conformité au RGPD : Premiers pas
À l’interne, chaque entreprise du secteur canadien des services financiers qui gère des données de l’UE doit s’assurer que ses processus internes soient conformes aux exigences du RGPD, c’est-à-dire qu’ils respectent les demandes explicites de consentement, le « droit d’être oublié », l’EFVP, la nomination d’un agent de protection des données et le délai de 72 heures prévu par le RGPD en cas de violation.
Sur le plan opérationnel, le secteur des services financiers doit examiner la façon dont il stocke et traite les données pour s’assurer que sa mise en œuvre est conforme au RGPD. Nombre d’entre elles comptent sur des hébergeurs externes pour réduire leurs coûts d’exploitation, en particulier les petites et moyennes entreprises qui ne sont pas en mesure de supporter le coût élevé de l’hébergement sécurisé des données sur place (y compris les données de leur propre entreprise).
Cela est pertinent pour le secteur des services financiers pour plusieurs raisons. Tout d’abord, si votre société de services financiers souhaite impartir l’hébergement de vos données, vous devez vous assurer que vos fournisseurs se conforment au RGPD. Dans le cas contraire, les non-conformités de votre fournisseur vous appartiendront et vous serez passible directement des sanctions de l’UE. Deuxièmement, les sociétés de services financiers qui se conforment pleinement au RGPD — à l’interne et par l’intermédiaire de leurs fournisseurs — peuvent en tirer parti pour conserver la clientèle des entreprises canadiennes qui souhaitent opérer dans l’UE.
Si vous êtes en train d’aligner votre société de services financiers avec le RGPD, surtout en ce qui concerne la collecte, le stockage et la gestion des données, nous avons des bureaux en Europe, au Canada et aux États-Unis qui préparent couramment les entreprises au RGPD. Communiquez avec Insight pour obtenir de l’aide en matière de conformité à RGPD pour l’ensemble de vos TI.
