Depuis son entrée en effet, le 25 mai dernier, le Règlement général européen sur la protection des données personnelles (le « RGPD ») est sur toutes les lèvres. On en parle évidemment au sein de l'Union européenne, mais aussi dans le reste du monde, incluant le Canada. Assurément la preuve que le RGPD est loin du simple « effet de mode », c'est un changement majeur qui – qu'on le veuille ou non – est là pour durer.
Un tel constat emporte une conséquence logique, soit la nécessité de suivre de près tous les développements récents concernant l'interprétation et la mise en application du RGPD. Et, quatre mois plus tard, c'est le moment tout désigné pour faire un premier bilan. On peut alors identifier « quatre vérités » venues des « quatre vents » qui nous murmurent : ça bouge en France, ça sanctionne au Royaume-Uni, ça continue pour l'Union européenne, ça préoccupe au Canada.
1re vérité de la CNIL (France) : ça bouge
Le 25 septembre 2018, la Commission nationale de l'informatique et des libertés de France (la « CNIL ») publiait une série d'indicateurs démontrant « que les professionnels et les particuliers se sont emparés de ce nouveau cadre et que sa mise en œuvre est effective en France et en Europe ».
En effet, au-delà la modification de la Loi Informatique et Libertés et de son décret, il semble y avoir une réelle volonté des organisations de s'approprier le RGPD comme en témoignent les chiffres ci-dessous :
- 24 500 organisations ont désigné un délégué à la protection des données;
- Plus de 600 notifications de violations de renseignements personnels ont été reçues;
- 3 millions de visites sur le site de la CNIL depuis mai 2018.
Les individus ne sont pas en reste puisque la CNIL aurait reçu 3 767 plaintes contre 2 294 plaintes sur la même période en 2017. Selon la CNIL, « cela représente une augmentation de 64% et témoigne du fait que les citoyens se sont fortement saisis du RGPD ».
2e vérité de l'ICO (Royaume-Uni) : ça sanctionne
Pendant ce temps, de l'autre côté de la Manche, l'Information Commissioner's Office du Royaume-Uni (l'« ICO ») n'a pas attendu longtemps avant de lancer un premier avertissement.
Le 6 juillet 2018, l'ICO a ainsi transmis une lettre de mise en demeure enjoignant la firme canadienne AggregateIQ à se conformer au RGPD (PDF - disponible en anglais suelement) dans un délai de trente jours. En substance, dans le contexte de l'affaire Cambridge Analytica, AggregateIQ se voit reprocher d'avoir traité des renseignements personnels pour des finalités que les individus n'auraient pas pu imaginer, sans fondement légal en vertu du RGPD, tout en ayant manqué de transparence. En cas de non-conformité, la firme AggregateIQ risque de se faire condamner à une amende administrative pouvant aller jusqu'à vingt millions d'euros ou jusqu'à 4% de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. À l'heure où nous écrivons, AggregateIQ nie toute implication avec Cambridge Analytica (disponible en anglais seulement) et semble avoir contesté la mise en demeure de l'ICO.
3e vérité du CEPD (Union européenne) : ça continue
Le Comité européen de la Protection des données (le « CEPD ») un organe européen indépendant qui contribue à l'application cohérente des règles en matière de protection des données au sein de l'Union européenne et encourage la coopération entre autorités de contrôle. Le CEPD remplace le Groupe 29.
Dans un communiqué de presse du 26 septembre 2018 (disponible en anglais seulement), le CEPD annonçait qu'il s'était réuni pour discuter de plusieurs sujets, dont la décision d'adéquation entre l'Union européenne et le Japon, les listes d'analyse d'impact relative à la protection des données, mais surtout l'adoption de lignes directrices concernant le champ d'application territorial du RGPD.
Concernant ce dernier élément, le CEPD indique que ces lignes directrices visent à fournir une interprétation commune de l'article 3 du RGPD tout en donnant des précisions quant aux différentes situations d'application extraterritoriale du RGPD, incluant concernant la nomination d'un représentant. Ces lignes directrices – qui n'ont pas encore été publiées à l'heure où nous écrivons – feront l'objet d'une consultation publique. Une chose est sûre : le RGPD n'a pas fini de faire parler de lui!
4e vérité du CPVPC (Canada) : ça préoccupe
En fin septembre 2018, finalement, le Commissariat à la protection de la vie privée du Canada (le « CPVPC ») publiait son Rapport annuel au Parlement 2017-2018 concernant la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur la protection des renseignements personnels.
On y souligne notamment « l'importance de maintenir le caractère adéquat de la loi canadienne au regard de la législation de l'Union européenne ». Si depuis 2001, la libre circulation des données est autorisée entre l'Union européenne et le Canada, le RGPD pourrait changer la donne en ce sens que son contenu diffère sensiblement des lois canadiennes en matière de protection des renseignements personnels. Certains demandent ainsi que législateur fédéral intervienne pour harmoniser les lois canadiennes avec le RGPD. Si la méthode doit encore faire l'objet de discussions, une préoccupation demeure suite à l'entrée en vigueur du RGPD soit « de prendre des mesures appropriées pour assurer le maintien de l'échange de données sans heurts entre le Canada et l'Union européenne ».
