Le 25 mai prochain, le Règlement Général sur la Protection des Données (le « RGPD ») prendra pleinement effet au sein de l'Union européenne. Ce nouveau texte modifie substantiellement les règles en matière de protection des « renseignements personnels », cette dernière expression se définissant comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Mais surtout, en plus de viser les entreprises d'outre-Atlantique, le RGPD peut également avoir des répercussions directes sur les employeurs canadiens traitant les renseignements personnels de leurs employés. Ainsi, il est primordial pour tout employeur de bien comprendre les tenants et aboutissants de cette nouvelle règlementation. Le présent texte se propose donc de présenter sommairement le RGPD pour ensuite identifier certaines obligations pouvant en découler pour les employeurs canadiens.
C'est quoi? Un règlement pour toute l'Union européenne
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données se distingue de l'ancienne directive 95/46/CE en ce sens que ce texte est directement applicable dans l'ensemble de l'Union européenne sans nécessiter de transposition dans les différents États membres. Autrement dit, le même texte s'appliquera dans toute l'Union européenne – avec toutefois quelques variations selon le domaine et l'État membre concerné. Le RGPD vise en substance
- à renforcer les droits des individus en matière de renseignements personnels,
- à responsabiliser tous les acteurs impliqués dans le traitement de renseignements personnels (tant les responsables que les sous-traitants), et
- à harmoniser les pratiques au sein de l'Union européenne dans ce domaine tout en favorisant la coopération entre les autorités de contrôle.
C'est où? Potentiellement au Canada
Certains pourraient se dire : « pas de problème, en tant qu'organisation canadienne, cela ne me concerne pas ». Malheureusement, cela est faux. En effet, le RGPD s'applique dès lors que vous avez un « établissement » – un concept passablement extensif – au sein de l'Union européenne, voire même si vous avez des activités visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais « monitor »). En un mot donc, le RGPD peut présenter une portée extraterritoriale, ce qui fait de ce nouveau règlement « l'affaire de tous ».
C'est quand? Le 25 mai 2018
Le RGPD, c'est maintenant. Si l'entrée en vigueur date du 24 mai 2016, le RGPD sera applicable à partir du 25 mai 2018. Concrètement, à compter de cette date, une organisation non conforme pourrait faire l'objet de sanctions, notamment pécuniaires, de la part de l'autorité de contrôle compétente. Cela étant dit, si vous êtes un retardataire, est-ce que cette date signifie vraiment la fin du monde? Oui, si vous n'avez rien fait, c'est-à-dire bâtir une stratégie claire et échelonnée dans le temps pour se conformer aux exigences du RGPD. À cet égard, la Commission nationale de l'informatique et des libertés (CNIL) française a indiqué que le 25 mai 2018 n'est pas une « date couperet », mais qu'il s'agit surtout d'une étape à franchir.
C'est combien? Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial
Les sanctions peuvent coûter chères, d'autant que le taux de change entre le dollar canadien et l'euro n'est pas à l'avantage des organisations canadiennes. En bref, concernant les amendes administratives, elles peuvent s'élever, selon la catégorie de l'infraction, de 10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % jusqu'à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Évidemment, les sanctions seront individualisées et proportionnées, en fonction notamment des efforts entrepris par l'organisation pour se conformer au RGPD, mais les chiffres devraient tout de même être préoccupant. Il faut ici noter que les sanctions imposables par les commissions canadiennes en matière de vie privée apparaissent dérisoires par rapport à celles identifiées dans le RGPD.
Et concrètement que faire? Agir plutôt que réagir
Et maintenant, si vous êtes un employeur canadien et vous croyez que le RGPD s'applique à vos activités, il faut vous doter dès maintenant d'un plan de conformité. Ce plan, propre à chaque cas d'espèce, vise essentiellement à jalonner toutes les étapes à franchir pour se conformer aux exigences du RGPD. Voici quelques exemples d'éléments à considérer :
- réviser tous les contrats d'emploi des employés pour y spécifier les fondements juridiques et les finalités du traitement des renseignements personnels;
- revoir les politiques de confidentialité internes, notamment pour y préciser les droits des employés en matière de renseignements personnels (accès, rectification, mais aussi droit à l'effacement, droit à la portabilité des données, etc.);
- réévaluer la durée de conservation des renseignements personnels de tous les employés;
- nommer un délégué à la protection des renseignements personnels;
- créer un registre de traitement des renseignements personnels, avec une section propre aux employés;
- vérifier les mesures organisationnelles et techniques mises en place par tous les prestataires de service ayant accès aux renseignements personnels des employés;
- évaluer la nécessité de procéder à des analyses d'impact relatives à la protection des données; ou encore
- mettre en place des procédures en cas d'incidents de sécurité.
En somme, en vous dotant d'un tel plan de conformité, c'est la meilleure manière de manger l'éléphant bouchée par bouchée sans risquer l'indigestion… Pour toute assistance dans la préparation d'un plan de conformité ou pour toute autre question concernant le RGPD, nous vous invitons à communiquer avec notre équipe de Protection de l'information et de la vie privée.