Article 6 idées reçues sur le Règlement général sur la protection des données
Par Emily Allender / 1 Feb 2018
Par Emily Allender / 1 Feb 2018
Le Règlement général sur la protection des données, qui vise à responsabiliser les entreprises par rapport à la sécurité des renseignements personnels qu’elles recueillent sur les citoyens de l’Union européenne, entre en vigueur le 25 mai 2018.
Alors que beaucoup d’entreprises en sont encore à tenter d’en comprendre les subtilités, une foule d’idées reçues circulent à son sujet. Nous vous présentons les plus fréquentes dans ce billet.
Bien que le règlement vise effectivement les renseignements personnels des résidents de l’UE, il encadre les activités de collecte et de traitement de ces données dans tous les pays. Même si votre entreprise est domiciliée au Canada, une infraction vous vaudra une amende soit d’environ 29 millions de dollars canadiens (20 millions d’euros), soit de 4 % de votre chiffre d’affaires mondial.
L’article 9 du règlement impose des règles plus strictes pour certains renseignements personnels, notamment ceux qui révèlent « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale » des personnes visées, ainsi que les « données génétiques [et] biométriques » et les données qui concernent « la vie sexuelle ou l’orientation sexuelle » de ces personnes. Les entreprises qui recueillent ou traitent ce type de renseignements devront satisfaire des exigences supplémentaires.
Tous les renseignements à caractère personnel qui concernent un citoyen européen seront assujettis au règlement, sans exception. Exemple : des citoyens français se sont abonnés à votre lettre d’information en 2014, et leurs coordonnées figurent toujours dans votre base de données. À compter du 25 mai 2018, vous devrez prouver qu’ils ont accepté que vous traitiez leurs renseignements personnels, conformément à l’article 7 du règlement. En outre, ils auront le même droit de rectification, d’effacement, de portabilité et de limitation du traitement des données que si leurs renseignements avaient été recueillis après l’entrée en vigueur du règlement.
La chaîne de données commence dans votre entreprise. Même si les renseignements personnels que vous avez recueillis sont stockés chez un tiers, vous êtes tenu de respecter le règlement. Par contre, en cas de violation des données, ce tiers fera lui aussi l’objet d’une vérification. C’est pourquoi vous devez impérativement vous enquérir des politiques et des procédures de protection des données qu’il a mises en place pour se conformer au règlement.
Votre organisation sera tenue de désigner un administrateur de la sécurité des données dans trois cas de figure seulement :
Ces critères sont plutôt vagues (par exemple, le règlement ne précise pas ce qui constitue un traitement « à grande échelle »), mais sachez que si un vérificateur constate que votre organisation n’a pas désigné d’administrateur de la sécurité des données alors qu’elle était tenue de le faire, l’amende sera salée.
Au reste, les entreprises qui ne remplissent pas les critères ou qui ne sont pas sûres de leurs obligations ont tout à gagner à désigner quand même un administrateur de la sécurité des données, car la procédure de mise en conformité peut être complexe et fastidieuse.
L’amende de 29 millions de dollars est dissuasive en soi, mais les entreprises doivent aussi comprendre que le règlement marque un tournant dans l’opinion publique. Les consommateurs et les travailleurs réclament un plus grand contrôle de leurs renseignements personnels.
Ainsi, même si c’est l’amende colossale qui fait les manchettes, c’est aussi leur réputation que les entreprises mettent en jeu en cas d’infraction. Celles qui se plieront volontiers au règlement verront leur cote d’estime monter en flèche. Les autres risqueront de se mettre les consommateurs à dos.
**Cet article ne constitue ni une analyse exhaustive des lois sur la protection des renseignements personnels de l’UE, telles que le Règlement général sur la protection des données, ni un avis juridique sur le respect de ces lois. Il présente des informations de base destinées à éclairer certaines questions d’ordre juridique. Insight vous déconseille d’agir comme si cet article constituait un avis juridique ou défendait une interprétation juridique particulière. Si vous souhaitez recevoir un avis sur votre interprétation des informations présentées dans cet article, sur l’exactitude de ces informations ou sur leur applicabilité à votre entreprise, Insight vous conseille de vous adresser à un avocat.
L’atelier d’Insight sur les stratégies de gestion de la sécurité vous aidera à recenser et à protéger les renseignements visés par le Règlement général sur la protection des données.