Êtes-vous concerné par le Règlement général sur la protection des données (RGPD) de l’Union européenne?
ÊTES-VOUSCONCERNÉPARLERÈGLEMENTGÉNÉRALSURLA
PROTECTIONDESDONNÉES(RGPD)DEL’UNIONEUROPÉENNE?
PIERREANTOINEVAILLANCOURTETMARCELNAUD*
ROBIC,S.E.N.C.R.L.
AVOCATS,AGENTSDEBREVETSETDEMARQUESDECOMMERCE
Aveclesrécentsscandalesdegestiondesdonnéesàcaractèrepersonnel,lenouveau
Règlementgénéralsurlaprotectiondesdonnées(RGPD),dontladated’entréeen
vigueurestle25mai2018,tombeàpointnommé,dumoinspourlesrésidentsdel’UE.
Or,lesentreprisescanadiennesdevraients’intéresserauRGPDpuisquesonchamp
d’actiondépasseralesfrontièresduvieuxcontinent.
1)Qu’est-cequeleRGPD?
LeRGPD,commesonnoml’indique,«établitdesrèglesrelativesàlaprotectiondes
personnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletdes
règlesrelativesàlalibrecirculationdecesdonnées1».Ilimposedenombreuses
obligationsauxentreprises(tantcellesresponsablesdutraitementqueleurssous-
traitants)quantauxdonnéesàcaractèrepersonnel,plusonéreusesquecelles
actuellementenvigueur.
Deplus,lesamendesquepeuventdorénavantimposerlesautoritésnationalesde
contrôle,organismeschargésdurespectduRGPDauniveaunational,pourrontatteindre
lemontantleplusélevéentre20millionsd’euroset4%duchiffred’affairesmondialde
l’entreprisepriseendéfaut2.D’oùl’importancedes’assurerdelaconformitédeson
entreprise,sinécessaire.
2)Est-cequelesentreprisescanadiennessontviséesparleRGPD?
Lenouveaurèglementproduitdeseffetsàl’extérieurdel’UE.Ainsi,estviséeparleRGPD
touteentreprise(établieounonenUE)quitraitedesdonnéesàcaractèrepersonnelde
résidentseuropéenslorsquecetraitementsurvientdanslecadred’activitésvisantà:
©CIPS,2018.*PierreAntoineVaillancourtestavocatetMarcelNaudestavocatetagentdemarqueschezROBIC,
S.E.N.C.R.L.,uncabinetmultidisciplinaired’avocatsetd’agentsdebrevetsetdemarquesdecommerce.1ArticlepremierRGPD.2Art.83RGPD.
2
ROBIC,S.E.N.C.R.L.MONTRÉALQUÉBECAVOCATS,AGENTSDEBREVETSETDEMARQUESDECOMMERCE1001Square-Victoria,BlocE–8eétage2875boulevardLaurier,Delta-3–Bureau700Montréal(Québec)CanadaH2Z2B7Québec(Québec)CanadaG1V2M2ROBIC.COMTél:514987-6242Tél:418653-1888INFO@ROBIC.COM
a.proposerdesproduitsouservices(mêmeàtitregratuit)àdesrésidents
européens;ou
b.suivrelecomportementderésidentsdel’UEparleprofilage.
Siuneentreprisecanadiennes’adonneàl’uneoul’autredecesactivités,elleestainsi
assujettieauRGPDetconfrontéeàunchoix:soitellelimitesesactivitésdefaçonàce
lesdonnéesderésidentsdel’UEnesoientplustraitéesparl’entreprise,soitellese
conformeauxobligationsimposéesparleRGPD,risquantautrementdelourdes
amendes.
3)EnquoiconsistentlesobligationsdécoulantduRGPD?
LeRGPDrenforcedesobligationsexistantesetenimposedenouvelles.Voiciunaperçu
desobligationssusceptiblesdedemanderleplusd’adaptation.
-Nominationd’unreprésentant3:Lesentreprisessituéeshorsdel’UEdoivent
nommerunreprésentantensoleuropéenquipeutservirdelienentrelesautorités
européennesconcernéesetl’entrepriseétrangère.Certainesexceptionssont
prévues,maisellesapparaissentsirestrictivesqu’uneentreprisepréférerapécherpar
excèsdeprudenceetnommerunreprésentant.
-Utilisationdétaillée4:Selonunepratiqueactuelleassezrépandue,uneentreprise
énumèrelesutilisationsfaitesdesdonnéesdansdesénoncésplutôtvaguestelsque
«pourassurerlebonfonctionnementdesservices».Cetteapprochen’estplus
suffisantesousleRGPD;lesentreprisesdoiventexpliciterlesfinalitésdutraitement
auquelsontdestinéeslesdonnéesàcaractèrepersonnelainsiquelabasejuridique
decetraitement.
-Consentementmanifeste,libre,éclairéetdonnéàdesfinsspécifiques5:Le
RGPDrequiertquel’entrepriseresponsabledutraitementpuissedémontrerquela
personneconcernéeadonnésonconsentement,etce,sousuneformequidistingue
clairementlademandedeconsentementdetouteautrequestionlorsquele
consentementestdonnédanslecadred’unedéclarationécritequiconcerne
égalementd’autresquestions.Entreautres,lesentreprisesnepeuventutiliserun
simpleavisaubasdel’écranetprésumerduconsentementouoffrirunecase
préalablementcochée.Deplus,ildoitêtreaussisimplederetirerquededonnerson
consentement.Lapersonneconcernéedoitégalementpouvoiraccepterourefuser
séparémentlesdifférentesopérationsdetraitementdesesdonnées,etce,sansque
l’exécutiond’uncontratsoitsubordonnéeauconsentementquineseraitpas
nécessaireàcetteexécution.
3Art.27RGPD.4Art.13c)RGPD.5Art.7RGPD.
3
ROBIC,S.E.N.C.R.L.MONTRÉALQUÉBECAVOCATS,AGENTSDEBREVETSETDEMARQUESDECOMMERCE1001Square-Victoria,BlocE–8eétage2875boulevardLaurier,Delta-3–Bureau700Montréal(Québec)CanadaH2Z2B7Québec(Québec)CanadaG1V2M2ROBIC.COMTél:514987-6242Tél:418653-1888INFO@ROBIC.COM
-Protectiondesdonnéesdèslaconceptionetpardéfaut6:Lesprincipesrelatifsà
laprotectiondesdonnéesdèslaconceptionveulentquecetteprotectionsoitpriseen
comptenonseulementaumomentdutraitementlui-même,maisaussilorsdela
déterminationdesmoyensdecetraitement,pardesmesurestechniqueset
organisationnellesappropriées,tellesquela«pseudonymisation».Celaimplique
égalementlaminimisationdesdonnées,pourqueseulessoientrecueilliesles
donnéesadéquates,pertinentesetlimitéesàcequiestnécessaireauregarddes
finalitéspourlesquellesellessonttraitées.Unmécanismedecertificationpeutservir
àdémontrerlerespectdecesexigences,cequipeutêtred’intérêtdanscertaines
circonstances.
-Responsabilitédel’entreprise7:Leprincipederesponsabilitédesentreprisesles
contraintàmettreenœuvredesmesurestechniquesetorganisationnelles
appropriéespours’assurerqueleurtraitementdesdonnéessoitréaliséconformément
auRGPDetqu’ellessoientenmesuredeledémontrer,comptetenudelanature,de
laportée,ducontexteetdesfinalitésdutraitementainsiquedesrisques(dontledegré
deprobabilitéetdegravitévarie)pourlesdroitsetlibertésdespersonnesphysiques.
Lesentreprisesnepeuventdoncadopteruneattitudepassiveounonchalantefaceà
laprotectiondecesdonnées.
-Déléguéàlaprotectiondesdonnées8:Certainesentreprisessontobligéesde
désignerundéléguéàlaprotectiondesdonnées(DPD).LeDPDestunindividudont
lesmissionscomprennentcelled’informeretdeconseillerlespersonnesresponsables
dutraitementdesdonnéessurlesobligationsquileurincombentetdecontrôlerle
respectduRGPD.Unpeucommeunombudsman,ildoitêtreindépendant,c’est-à-
direqu’ilnereçoitd’instructionsdepersonnerelativementàsesmissionsetnepeut
êtrerelevédesesfonctionsoupénaliséenraisondel’exercicedesesfonctions.
Despratiquesàajuster
Cetaperçudesobligationsdelanouvelleréglementationeuropéenneillustrelavolonté
del’UEdehaussersignificativementlaprotectiondesdonnéesàcaractèrepersonnel.
PourlesentreprisesquineseraientpasviséesparleRGDP,ellesont,malgrétout,intérêt
àajusterleurspratiquesenlamatière,puisqu’ilnefaudrapasêtresurprisdevoird’autres
juridictions,dontleCanada,emboiterlepasàl’UE.
6Ar.25RGPD.7Art.24RGPD.8Art.37etsuivantsRGPD.