Sommaires exécutifs 17 avr. 2018

RGPD: comment vous y préparer

Récemment, certains ont exprimé des inquiétudes – parfois justifiées et parfois non – sur l’entrée en vigueur du Règlement général sur la protection des données le 25 mai 2018. Bien que le règlement doit être pris au sérieux et que les organisations devront se conformer à la nouvelle loi, il n’y a aucune raison de paniquer.

Danielle Miller Olofsson est l’auteure du présent article.

Tout d’abord, le Règlement général sur la protection des données (« RGPD ») constitue un prolongement logique de la directive 95/46/CE (la « directive ») de l’Union européenne. Celle-ci a déjà établi des limites sur les données que les organisations pouvaient recueillir, les moyens auxquels elles pouvaient avoir recours pour ce faire, la période pendant laquelle elles pouvaient conserver les renseignements et les territoires de compétence dans lesquels les données pouvaient être transférées. La Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDÉ ») ayant été largement édictée en réaction à la directive, les organisations qui sont déjà conformes à la LPRPDÉ devront invariablement resserrer leurs pratiques pour se conformer au RGPD, mais elles ne partent toutefois pas de zéro.

Les éléments les plus exigeants du RGPD

Certaines des caractéristiques les plus exigeantes du RGPD pour les organisations qui souhaitent exercer des activités en Europe sont les suivantes :

  • Renversement du fardeau de la preuve : une violation soupçonnée n’est pas exigée pour qu’une commission nationale sur la protection de la vie privée procède à la vérification d’une organisation. La commission peut en tout temps réaliser une vérification et l’organisation doit prouver sa conformité.
  • Sécurité par défaut : les responsables du traitement (les personnes qui recueillent les données) doivent prendre des mesures afin de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque fin spécifique du traitement sont traitées.
  • Sécurité dès la conception : un système d'information mis en place pour recueillir, utiliser ou conserver les données doit, au moment de sa conception, être conforme au RGPD.
  • Droits d’une personne concernée : le RGPD donne plusieurs droits à la personne concernée (la personne dont l’information est recueillie), notamment le droit d’être informée de manière exhaustive et avec exactitude de l’utilisation de ses renseignements et l’obligation de l’organisation d’obtenir le consentement explicite de la personne concernée avant le traitement de ces données. En plus des droits d’accès et de rectification qui existaient auparavant en Europe et qui existent au Canada, la personne concernée a également le droit de demander la suppression de cette information. Ce « droit à l’oubli » est encore débattu au Canada et une décision de la Commission d’accès à l’information du Québec donne à penser que ce droit n’existe pas au Québec.
  • Droit à la portabilité des données : la personne concernée a le droit de demander que l’information qu’un responsable du traitement a recueillie sur elle lui soit transmise, dans un format structuré, couramment utilisé et lisible par machine, pour qu’elle la transmette à un autre responsable du traitement.
  • Responsabilité conjointe en cas de violation d’un fournisseur ou d’un sous-traitant : une organisation ne peut pas plaider qu’elle ne savait pas qu’un fournisseur ou qu’un sous-traitant n’était pas conforme. Elle ne peut pas non plus se fier à une lettre vague confirmant la conformité. Les organisations ont l’obligation d’effectuer une enquête adéquate sur la conformité de leurs fournisseurs ou de leurs sous-traitants même si cela implique la demande d’une vérification de la protection de la vie privée.
  • Sanctions : tout dépendant de la nature de la violation, une organisation peut être assujettie à diverses sanctions pouvant atteindre le plus élevé de 20 millions d’euros ou de 4 % de son chiffre d'affaires annuel total à l’échelle mondiale. De nombreuses considérations seront toutefois prises en compte dans le cadre de l’évaluation du montant des sanctions.

Les mesures à prendre pour se conformer

À la lumière de ce qui précède, une organisation devrait prendre les mesures qui suivent pour se conformer au règlement:

  • Désignation d’un responsable: désignez une personne dans l’organisation qui sera responsable de la protection des données et de la conformité.
  • Cartographie des traitements des données personnelles : identifiez les données recueillies par votre organisation qui pourraient entraîner l’application du RGPD. Étant donné la définition large des données à caractère personnel au RGPD, il est peu probable que le règlement ne s’applique pas.
  • Création d’un registre de traitement des données : établissez quels types d’information vous recueillez (RH, information sur les clients, information sur les fournisseurs, etc.) et pour chaque type d’information, établissez comment recueillir, utiliser, conserver et communiquer cette information.
  • Assurez la conformité des fournisseurs et des sous-traitants.
  • Conservation et traitement de l’information de façon à respecter les droits d’une personne concernée : dans le cas où une personne concernée demande toutes ses données, celles-ci doivent être facilement localisables et communicables. De la même façon, dans le cas où une organisation reçoit des demandes de retrait, elle doit être prête à y répondre rapidement tout en respectant le règlement.
  • Réalisation d’une analyse d’impact relative à la protection des données : quoiqu’elle ne soit pas obligatoire dans tous les cas, il est fortement recommandé d’effectuer une analyse d’impact. Cette étude indique quelles sont les répercussions d’une violation pour chaque type de données (voir l’étape 2 ci-dessus) et comment y réagir. Un logiciel gratuit qui se trouve sur le site Web de la Commission national de l’informatique et des libertés (« CNIL ») peut aider les organisations à effectuer cette tâche.
  • Élaboration d’une politique de protection des données : cette politique doit comprendre uniquement la collecte des données nécessaires et en limiter l’accès aux personnes qui doivent les utiliser. Elle devrait également contenir un plan de conservation et de destruction des données, une charte informatique, un modèle de formulaire de consentement, un plan de réponse aux personnes concernées qui choisissent d’exercer un de leurs droits (rectification, accès, effacement, mobilité) et une procédure d’intervention en cas d’urgence dans le cas d’une violation de données.
  • Établissement d’un programme de formation des employés : la protection des données touche tous les membres d’une organisation. Il s’agit d’une culture qui doit être mise en œuvre, testée et actualisée sur une base continue.

À titre d’information, dans le cas d’une vérification de la part de la CNIL, la commission demande les documents suivants pour s’assurer de la conformité d’une organisation :

  • Le registre des traitements des données
  • Les analyses d’impact sur la protection des données
  • Les contrats avec les sous-traitants et les fournisseurs
  • Les contrats de transferts de données dans le cas des données exportées hors de l’Union européenne
  • Les avis de non-responsabilité à l’égard de la collecte de données
  • Les formulaires de consentement modèles
  • Les preuves de consentement
  • Les processus en place pour répondre à l’exercice des droits des personnes concernées
  • Les mesures de sécurité internes pour prévenir une violation ainsi qu’un plan de communication dans le cas où une violation est survenue

Même si le RGPD annonce une nouvelle ère de protection des données pour les organisations qui exercent des activités en Europe et même si le fardeau de conformité qu’il place sur ces organisations est lourd, ce fardeau n’est aucunement insurmontable. Il existe bon nombre d’entités publiques et privées pour aider à la mise à conformité des organisations. Bien qu’il soit peut-être un peu tard pour mettre en place un programme pleinement conforme d’ici le 25 mai, il n’est pas trop tard pour commencer à le faire!

BCF serait heureux de vous aider à naviguer dans le RGPD et à mettre en œuvre un programme de protection des données conforme. N’hésitez pas à communiquer avec l’équipe de Protection des données, sécurité et protection du droit à la vie privée.