GDPR CANADA

GDPR CANADA

L’accord économique et commercial global entre l’Union Européenne et le Canada dit « CETA » a été ratifié par le Parlement Européen le 15 février 2017. Il est entré en vigueur de manière provisoire le 21 septembre dernier, dans l’attente de son approbation définitive par les parlements nationaux et régionaux de l’Union Européenne.

Ce traité de libre-échange prévoit notamment une baisse des droits de douane, une hausse des quotas d’importation de produits canadiens dans l’Union Européenne, un accès facilité des entreprises européennes aux marchés publics canadiens ou encore, une reconnaissance mutuelle des qualifications professionnelles.

Dans ce contexte de partenariat entre l’Union Européenne et le Canada, il convient de s’intéresser au Règlement européen sur la protection des données personnelles dit « General data protection régulation » (GDPR)1, adopté le 27 avril 2016 et entrant en vigueur le 25 mai 2018.

Compte-tenu de son champ d’application étendu, ce Règlement européen pourrait effectivement concerner les entreprises canadiennes, lesquelles devront anticiper son entrée en vigueur et se mettre en conformité avant le 25 mai 2018.

Quelles sont les entreprises concernées par le Règlement européen ?

Les entreprises concernées sont celles qui traitent des données à caractère personnel2, en qualité de responsable de traitement3 ou de sous-traitant4, dès lors que ce traitement entre dans le champ d’application matériel et territorial de la GDPR.

Sont exclus du champ d’application matériel de la GDPR, les traitements effectués :

  1. Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. Par les Etats membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union Européenne ;
  3. Par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales5.

Pourquoi les entreprises canadiennes sont-elles concernées par le Règlement européen ?

Si la GDPR a pour objet d’unifier le cadre juridique relatif à la protection des données personnelles au sein de l’Union Européenne, force est de constater que son champ d’application territorial n’est pas limité à l’Europe et est susceptible de s’étendre au Canada.

En effet, la GDPR s’applique aux traitements de données à caractère personnel dont le responsable du traitement ou le sous-traitant :

  1. Est établi sur le territoire de l’Union, que ce traitement ait lieu ou non dans l’Union ;
  2. N’est pas établi sur le territoire de l’Union, dès lors que ce traitement concerne des personnes établies dans l’Union et a pour objet de leur fournir des biens ou des services ou de suivre leur comportement ;
  3. N’est pas établi sur le territoire de l’Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public6.

Ainsi, la GDPR s’applique aux traitements de données à caractère personnel mis en œuvre sur le territoire canadien lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne.

En outre, la GDPR s’applique aux traitements effectués par un responsable ou un sous-traitant canadien lorsque leur objet est de fournir des biens ou des services à des résidents de l’Union Européenne ou de suivre leur comportement.

Quelles formalités pour les entreprises canadiennes qui mettent en œuvre un traitement visant à fournir des biens ou des services à des résidents européens ou à suivre leur comportement ?

Dans une telle hypothèse, la GDPR prévoit la désignation d’un « Représentant sur le territoire de l’Union Européenne »7. Cette désignation est obligatoire à moins que :

  1. le traitement ne soit qu’occasionnel, n’implique pas un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales ou à des infractions et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques compte tenu de la nature, du contexte, de la porté et des finalités du
  2. le responsable du traitement soit une autorité publique ou un organisme

Le « représentant » est défini comme une personne physique ou morale établie dans l'Union Européenne désignée par écrit par le responsable du traitement ou le sous-traitant et qui les représente en ce qui concerne leurs obligations respectives en vertu de la GDPR8.

Selon la CNIL, autorité française de contrôle en matière de protection des données personnelles, le représentant peut être une filiale, un représentant juridique, un avocat ou toute autre personne.

Le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi9.

Il est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect de la GDPR. Néanmoins, sa désignation est sans incidence sur la responsabilité du responsable du traitement et du sous-traitant.

Quelles obligations pour les entreprises concernées par le Règlement européen (responsables de traitement ou sous-traitants) ?

Les responsables de traitement et les sous-traitants devront désormais respecter le principe de « privacy by design » qui implique de limiter la quantité de données traitées dès le départ et de protéger les données dès la conception et par défaut.

En outre, en application du principe « d’accountability » (responsabilisation des entreprises), les responsables de traitement devront être à même de démontrer leur conformité au Règlement à tout moment. Pour cela, ils devront notamment constituer et regrouper la documentation nécessaire : registre des traitements, analyses d’impact, encadrement des transferts hors de l’Union Européenne, modèles de recueil du consentement des personnes concernées, etc.

En contrepartie de cette responsabilisation des entreprise, il est à noter que la GDPR supprime les formalités déclaratives auprès des autorités de protection des données personnelles et met à disposition des responsables de traitement des outils de conformité : mécanismes de certification, adhésion à des codes de conduite, désignation d’un délégué à la protection des données (DPO)10 etc.

Par ailleurs, la GDPR soumet les responsables de traitement et les sous-traitants à de nouvelles obligations. Le responsable du traitement devra notamment tenir un registre des traitements pour les entreprises de plus de 250 salariés11, répondre au droit d’accès des personnes concernées dans un délai d’un mois12, notifier et communiquer les violations de données personnelles13 ou réaliser des analyses d’impact en cas de risque élevé pour les droits et libertés des personnes physiques14.

Le sous-traitant devra, quant à lui, obtenir l’autorisation du responsable de traitement pour faire de la sous-traitance, aider le responsable à s’acquitter de ses propres obligations, notifier au responsable toute violation de données personnelles ou encore, mettre à disposition du responsable les informations attestant du respect de ses obligations et permettant la réalisation d’audits.

De plus, les responsables de traitement et les sous-traitants devront respecter les droits des personnes concernées. Ces droits ont été renforcés par la GDPR et comprennent notamment : l’exigence d’un consentement clair et explicite15, le droit à l’oubli16, le droit à la portabilité des données17, le droit de s’opposer au traitement et au profilage18, le droit d’être informé en cas de piratage de ses données19 etc.

Enfin, il convient de souligner que les amendes administratives pourront désormais atteindre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 10 à 20 millions d’euros pour les autres organismes.

Quid des transferts de données depuis l’Union Européenne vers le Canada ?

Avec l’entrée en vigueur du CETA, il est probable que des transferts de données à caractère personnel aient lieu entre l’Union Européenne et le Canada.

Les transferts de données à caractère personnel depuis l’Union Européenne vers un pays tiers, tel que le Canada, sont strictement encadrés par la GDPR.

La GDPR prévoit que de tels transferts ne peuvent avoir lieu que si la Commission Européenne a reconnu, par voie de décision, que ce pays tiers assurait un niveau de protection adéquat des données personnelle ou, à défaut, si des garanties appropriées sont prises par le responsable du traitement ou le sous-traitant20.

S’agissant du Canada, la Commission européenne a reconnu que la loi canadienne sur « la protection des renseignements personnels et les documents électroniques » assurait un niveau de protection adéquat des données personnelles21. Par conséquent, les transferts de données personnelles depuis un Etat membre de l’Union Européenne vers un destinataire canadien assujetti à cette loi ne nécessitent pas de garantie supplémentaire.

1 Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
2 Traitement de données à caractère personnel : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction »
3 Responsable du traitement : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement »
4 Sous-traitant : « la personne physique ou morale, l'autorité́ publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement»
5 Article 2 du Règlement (UE) n°2016/679
6 Article 3 du Règlement (UE) n°2016/679
7 Considérant 80 et article 27 du Règlement (UE) n°2016/679
8 Article 4-17° du Règlement (UE) n°2016/679
9 Article 27 du Règlement (UE) n°2016/679
10 Article 37 du Règlement (UE) n°2016/679
11 Article 30 du Règlement (UE) n°2016/679
12 Article 12-3 du Règlement (UE) n°2016/679
13 Articles 33 et 34 du Règlement (UE) n°2016/679
14 Article 35 du Règlement (UE) n°2016/679
15 Consentement : « acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement (considérant 32) »
16 Article 17 du Règlement (UE) n°2016/679
17 Article 20 du Règlement (UE) n°2016/679
18 Article 21 du Règlement (UE) n°2016/679
19 Article 34 du Règlement (UE) n°2016/679
20 Article 44 du Règlement (UE) n°2016/679
21 Décision d’adéquation 2002/2/EC du 20 décembre 2001 modifiée par la décision d’exécution (UE) 2016/2295

Blandine Poidevin Avocate chez Jurisexpert

Sitôt la phrase « Ils vécurent dans la boucane et eurent beaucoup de sous à payer en dommages liés aux effets secondaires de la cigarette » prononcée… l’histoire est-elle déjà en train de se répéter ?

Des firmes chinoises seraient déjà à contourner la règle réservant la pratique devant l’USPTO aux avocats américains

Eh oui, publier de faux témoignages sur Amazon (pour mousser ses ventes d'un produit) peut violer la loi

Amende de 5M$+ contre TIK TOK liée à sa collecte inappropriée de renseignements personnels d’enfants

Action collective contre la FDIQ: des inventeurs allèguent négligence et fausses représentations

Interception de données transitant par Internet: ICANN sonne l'alarme quant au DNSpionnage

Toujours plus de caméras sur les lieux de travail, même dans les écoles

Contrefaçon de droits d’auteur et bijoux: quand s'inspirer n'est pas contrefaire

L'USPTO exige qu'un avocat américain représente toute société étrangère déposant une demande d'enregistrement aux États-Unis

Quand miner de la cryptomonnaie déclenche l’application du régime applicable aux valeurs mobilières

L’intrusion de 2017 chez Equifax serait attribuable à un pays étranger, pas à de simples cyberpirates

Des tiers traquaient des individus par GPS grâce à des sociétés de télécom

Des centaines de millions en cryptomonnaie enfermés à jamais dans une voûte dont on a perdu le mot de passe

La loi fédérale en matière de génétique affectée d'un chromosome défectueux

U Have Been Pwned: Plus de sept cent millions de comptes de courriel piratés

Afficher Plus de Nouvelles

Alerte Emplois