Vision – Regard éclairé sur les priorités d’affaires
Règlement général sur la protection des données - Épisode 3

Vidéo | Septembre 2018 | 3:49

Permettez-nous de vous présenter le dernier volet de notre série vidéo Vision – Regard éclairé sur les priorités d’affaires, dans laquelle nos avocats chevronnés offrent des analyses juridiques pertinentes sur des questions d’actualité importantes pour les Canadiens.

Dans le tout dernier épisode, le responsable canadien de nos équipes Impartition et Sourçage et technologie, l’associé Robert Percival, se penche sur le Règlement général sur la protection des données (RGPD), mis en œuvre par l’Union européenne en mai dernier.

Il explique ce que votre compagnie doit considérer si elle est touchée par le RGPD, mais ne s’y conforme pas encore, et discute des changements prochains à la réglementation canadienne en matière de protection des données.

Abonnez-vous à notre série Vision – Regard éclairé sur les priorités d’affaires dès aujourd’hui!

Transcription

Mon entreprise doit-elle se préoccuper du RGPD?

En bref, oui. Les entreprises canadiennes doivent se soucier de l’application possible du Règlement général sur la protection des données (RGPD), mis en œuvre en mai 2018. De façon générale, le RGPD vise les entreprises de l’UE qui recueillent ou traitent des renseignements personnels, mais il a aussi une importante portée extraterritoriale et peut s’appliquer à des entreprises situées hors de l’UE, y compris à des entreprises canadiennes. Ainsi, les entreprises canadiennes doivent déterminer si le RGPD s’applique à leurs activités ou non et, le cas échéant, si leurs pratiques et procédures existantes en matière de protection des données sont conformes aux exigences du RGPD. Toute non-conformité nécessitera l’adoption et la mise en oeuvre de procédures et pratiques plus strictes afin de respecter les exigences plus rigoureuses du RGPD. Enfin, il faut mentionner que le fait de ne pas se conformer aux exigences du RGPD peut donner lieu à des pénalités importantes pouvant atteindre 30 M$. Il est donc important pour les entreprises canadiennes susceptibles d’être assujetties au RGPD de s’assurer de le respecter.

Quelle est la différence entre les nouvelles règles en matière de déclaration obligatoire d’atteinte à la vie privée et le RGPD?

Le gouvernement fédéral a récemment modifié la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour prévoir la déclaration obligatoire des atteintes aux particuliers et au commissaire fédéral à la protection de la vie privée lorsqu’il y a une atteinte touchant des renseignements personnels présentant un risque de préjudice grave à l’endroit des personnes visées. Ces modifications exigent aussi que les entreprises créent et tiennent un registre sur les atteintes à la protection des données touchant des renseignements personnels. En mettant en œuvre ces modifications, le gouvernement a voulu harmoniser le cadre législatif en matière de protection des données au Canada avec les nouvelles règles imposées par le RGPD, adopté par l’UE en mai 2018. Le RGPD prévoit que les entreprises sont également tenues de déclarer aux organismes de réglementation applicables et aux particuliers les atteintes à la protection des données qui présentent un risque de préjudice grave. Ainsi, les entreprises canadiennes assujetties à la LPRPDE ou au RGPD devraient mettre en œuvre et adopter sans tarder une stratégie pour se conformer tant aux nouvelles règles de déclaration obligatoire qu’à leur obligation de créer et de tenir un registre sur les atteintes.

De quelle façon les entreprises canadiennes devraient-elles aborder les récentes modifications aux lois canadiennes et européennes sur la protection de la vie privée?

Je pense que les entreprises canadiennes devraient s’inspirer du RGPD au moment de mettre à jour leurs pratiques et politiques en matière de protection des données. Bien que des différences notables demeurent entre les obligations prévues dans la loi canadienne et celles du RGPD, je crois qu’avec le temps, l’écart se rétrécira, surtout parce que le Canada souhaite conserver son statut d’adéquation aux termes du RGPD afin de maintenir le flux d’information entre l’UE et le Canada. Par conséquent, la plupart des entreprises canadiennes auraient intérêt à adopter des pratiques et des politiques sur la protection des données se rapprochant plus du RGPD que des normes moins exigeantes des lois canadiennes sur la protection de la vie privée.

Personnes-ressources