Ce que le « GDPR » représente pour les entreprises Canadiennes
best practices|16 May 2018
Le Règlement Général sur la Protection des Données est une mesure de contrôle qui sera mise en vigueur le 25 mai 2018 et qui vise à règlementer la collecte de données pour les résidents européens.
Cependant, il n’y a pas uniquement les entreprises localisées en Europe qui seront affectées par ces nouvelles mesures. Le RGDP en effet concerne toutes les entreprises qui effectuent du traitement de données à caractère personnel sur des résidents Européens. Les entreprises canadiennes qui possèdent des données sur les résidents de l’Europe doivent aussi se soumettre à cette nouvelle législation.
Le « traitement de données » fait référence à la collecte, à l’accès, au stockage, à la manipulation, à la consultation et la destruction de données. Une entreprise qui utilise les services d’un tiers pour faire la collecte et le stockage de données est donc néanmoins concernée dans la mesure où elle fait de la consultation à distance des résultats.
S’il y a une violation du RGPD, les entreprises fautives peuvent faire face à deux échelles de pénalités. La première est une amende substantielle pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel global de l’entreprise, tout dépendant lequel est le plus élevé. La deuxième, qui peut être une amende encore plus faramineuse, peut atteindre 20 millions d’euros ou 4% du chiffre d’affaire annuel global, ce qui peut représenter une lourde conséquence pour un non-respect de la règlementation.
Les principes clés qui découlent de cette nouvelle loi sont relativement simples :
Le principe de consentement sera renforcé avec le RGDP. À partir du 25 mai 2018, le consentement du consommateur à la collecte et au traitement de ses données doit maintenant être explicite et positif. De plus, les entreprises devront être en mesure de prouver ce consentement.
Au niveau des entreprises B2B, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée.
Par ailleurs, au niveau des Cookies, la mention de la finalité du cookie sera imposée, ainsi que le droit d’opposition de l’utilisateur.
Le principe de transparence représente simplement que les entreprises devront fournir un consentement explicite et éclairé sur la façon dont les données des consommateurs sont utilisées. Ces informations devront être fournies sans ambiguïté et être accessibles par tous.
Le droit des consommateurs représente tous les nouveaux droits que les citoyens européens se verront octroyés grâce au RGDP.
Tout d’abord, les résidents européens pourront accéder aux informations qui ont été recueillies sur eux. En cas de demande, l’entreprise disposera de 1 mois maximum pour répondre et satisfaire à la demande.
Le droit d’oubli sera quant à lui amélioré du point de vue des utilisateurs. En effet les entreprises disposeront maintenant d’un délai d’un mois au lieu de deux pour supprimer les données d’un consommateur lorsque celui-ci en fera la demande. Toutes les reproductions des données devront aussi être effacées.
Un nouveau droit sera aussi en vigueur et c’est celui de la portabilité des informations. Un consommateur pourra récupérer les informations qu’il a fourni dans un format facilement réutilisable dans le but de le transférer à un tiers.
Le dernier principe est celui de la responsabilité. Comme nous avons pu voir avec le « scandale » Facebook dernièrement, les entreprises seront tenues de documenter les mesures de sécurité au niveau de la protection de l’information et de renforcer celles-ci dans le but d’éviter les intrusions.
De plus, les entreprises concernées par le RGDP seront tenues de notifier les autorités de régulation compétentes dans un délai de 72h en cas de faille de sécurité. Les personnes physiques devront être avisées « dans les meilleurs délais »
Au Canada, avec le PIPEDA (Personal Information Protection and Electronic Documents Act) qui existe déjà depuis 2004, les entreprises canadiennes sont familières avec un bon nombre des mesures de protection mise en place avec le RGPD donc l’adoption n’est pas majeure pour la plupart. Certaines entreprises devront par-contre désigner une ressource (Délégué à la protection des données) lorsque celles-ci traite des données sensibles ou à grande échelle. En général, un survol des nouvelles réglementations devrait rapidement indiquer ce que votre entreprise devrait prendre comme mesure pour être bien conforme à RGDP.
Par ailleurs, sachez que si vous tomber fautif de ne pas respecter le RGDP, un audit peut vous aider à prouver que vous avez pris des mesures importantes pour sécuriser vos données. Si vous recevez une amende, vous pourriez être admissible à une réduction. Tenir un bilan de la mise en place des mesures de confidentialité permettra de valider ce point et d’ainsi vous différencier des entreprises qui ne prennent aucunes mesures pour se conformer.
Si vous avez des questions par rapport au RGPD ou au PIPEDA, n’hésitez pas à nous contacter à l’aide du formulaire ou des coordonnées à la page suivante : Contactez-nous
Note de l'éditeur: Cette publication a été inspirée de notre partenaire SugarCRM
Cependant, il n’y a pas uniquement les entreprises localisées en Europe qui seront affectées par ces nouvelles mesures. Le RGDP en effet concerne toutes les entreprises qui effectuent du traitement de données à caractère personnel sur des résidents Européens. Les entreprises canadiennes qui possèdent des données sur les résidents de l’Europe doivent aussi se soumettre à cette nouvelle législation.
Le « traitement de données » fait référence à la collecte, à l’accès, au stockage, à la manipulation, à la consultation et la destruction de données. Une entreprise qui utilise les services d’un tiers pour faire la collecte et le stockage de données est donc néanmoins concernée dans la mesure où elle fait de la consultation à distance des résultats.
S’il y a une violation du RGPD, les entreprises fautives peuvent faire face à deux échelles de pénalités. La première est une amende substantielle pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel global de l’entreprise, tout dépendant lequel est le plus élevé. La deuxième, qui peut être une amende encore plus faramineuse, peut atteindre 20 millions d’euros ou 4% du chiffre d’affaire annuel global, ce qui peut représenter une lourde conséquence pour un non-respect de la règlementation.
Les principes clés qui découlent de cette nouvelle loi sont relativement simples :
- Le consentement
- La transparence
- Le droit des consommateurs
- La responsabilité
Le principe de consentement sera renforcé avec le RGDP. À partir du 25 mai 2018, le consentement du consommateur à la collecte et au traitement de ses données doit maintenant être explicite et positif. De plus, les entreprises devront être en mesure de prouver ce consentement.
Au niveau des entreprises B2B, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée.
Par ailleurs, au niveau des Cookies, la mention de la finalité du cookie sera imposée, ainsi que le droit d’opposition de l’utilisateur.
Le principe de transparence représente simplement que les entreprises devront fournir un consentement explicite et éclairé sur la façon dont les données des consommateurs sont utilisées. Ces informations devront être fournies sans ambiguïté et être accessibles par tous.
Le droit des consommateurs représente tous les nouveaux droits que les citoyens européens se verront octroyés grâce au RGDP.
Tout d’abord, les résidents européens pourront accéder aux informations qui ont été recueillies sur eux. En cas de demande, l’entreprise disposera de 1 mois maximum pour répondre et satisfaire à la demande.
Le droit d’oubli sera quant à lui amélioré du point de vue des utilisateurs. En effet les entreprises disposeront maintenant d’un délai d’un mois au lieu de deux pour supprimer les données d’un consommateur lorsque celui-ci en fera la demande. Toutes les reproductions des données devront aussi être effacées.
Un nouveau droit sera aussi en vigueur et c’est celui de la portabilité des informations. Un consommateur pourra récupérer les informations qu’il a fourni dans un format facilement réutilisable dans le but de le transférer à un tiers.
Le dernier principe est celui de la responsabilité. Comme nous avons pu voir avec le « scandale » Facebook dernièrement, les entreprises seront tenues de documenter les mesures de sécurité au niveau de la protection de l’information et de renforcer celles-ci dans le but d’éviter les intrusions.
De plus, les entreprises concernées par le RGDP seront tenues de notifier les autorités de régulation compétentes dans un délai de 72h en cas de faille de sécurité. Les personnes physiques devront être avisées « dans les meilleurs délais »
Au Canada, avec le PIPEDA (Personal Information Protection and Electronic Documents Act) qui existe déjà depuis 2004, les entreprises canadiennes sont familières avec un bon nombre des mesures de protection mise en place avec le RGPD donc l’adoption n’est pas majeure pour la plupart. Certaines entreprises devront par-contre désigner une ressource (Délégué à la protection des données) lorsque celles-ci traite des données sensibles ou à grande échelle. En général, un survol des nouvelles réglementations devrait rapidement indiquer ce que votre entreprise devrait prendre comme mesure pour être bien conforme à RGDP.
Par ailleurs, sachez que si vous tomber fautif de ne pas respecter le RGDP, un audit peut vous aider à prouver que vous avez pris des mesures importantes pour sécuriser vos données. Si vous recevez une amende, vous pourriez être admissible à une réduction. Tenir un bilan de la mise en place des mesures de confidentialité permettra de valider ce point et d’ainsi vous différencier des entreprises qui ne prennent aucunes mesures pour se conformer.
Si vous avez des questions par rapport au RGPD ou au PIPEDA, n’hésitez pas à nous contacter à l’aide du formulaire ou des coordonnées à la page suivante : Contactez-nous
Note de l'éditeur: Cette publication a été inspirée de notre partenaire SugarCRM