Les firmes canadiennes doivent obéir au RGPD de l'UE

Toute entreprise canadienne qui recueille des renseignements personnels sur les résidants de l'Union européenne - qu'ils soient touristes, étudiants ou clients en ligne - risque des amendes maximales de 30 millions si elle enfreint une nouvelle loi sur la protection des renseignements personnels entrée en vigueur vendredi.

Les experts en protection de la vie privée affirment que de nombreuses petites et moyennes entreprises canadiennes ont récemment réalisé qu'elles pourraient être assujetties au Règlement général de protection des données (RGPD) de l'UE, adopté en 2016 avec un délai de deux ans avant l'application à partir du 25 mai 2018.

«Toute personne qui recueille des données personnelles auprès des résidants européens - pas seulement des citoyens - doit se conformer à cela», a rappelé Ale Brown, la fondatrice de la firme Kirke Management, lors d'un entretien téléphonique depuis Vancouver.

Cela s'applique à une boutique de mode qui vend des sacs à main, à une université qui accueille des étudiants d'un pays européen ou à un site web qui utilise des témoins ou d'autres fonctionnalités de suivi d'informations, a-t-elle dit. Le RGPD pourrait même affecter les petites entreprises liées au tourisme, comme les centres de villégiature ou les voyagistes, qui ont des clients du monde entier.

En plus de prévoir des amendes potentiellement élevées, le champ d'application du RGPD est très vaste.

Le but est de donner aux internautes l'occasion d'obtenir, de corriger ou de supprimer des données personnelles les concernant; de définir les règles de divulgation des failles de sécurité; et de fournir des politiques de confidentialité et des conditions de service facilement compréhensibles.

Une des critiques du RGPD a été qu'il pourrait imposer des coûts administratifs plus élevés à chaque entreprise qui veut se conformer aux règles - en plus de l'impact potentiellement dévastateur d'être frappé d'une amende pour avoir enfreint la loi.

On retrouve parmi ceux qui s'inquiètent Jack Ward, un porte-parole du nouveau conseil consultatif Data Catalyst qui a pour objectif de sensibiliser les décideurs et les entreprises à l'importance de l'économie fondée sur les données.

«Je ne dis pas que c'est un mauvais projet de loi, parce que je ne le pense pas nécessairement, a-t-il dit. Mais il aurait pu y avoir quelques mesures prises pour tenir compte du fait que les défis des petites entreprises sont différents de ceux des grandes.»

Par exemple, a-t-il dit, une amende de quatre % du revenu annuel serait très pénible pour un géant comme Facebook ou Google, mais «c'est une condamnation à mort pour une petite entreprise frappée d'une amende du RGPD».

Si l'UE souhaite que ses amendes soient réellement dissuasives pour contraindre au respect de la loi sur la protection de la vie privée, elle prend en compte un certain nombre de facteurs tels que la nature intentionnelle ou négligente de l'infraction; les mesures prises pour réduire les dommages; et les moyens adoptés pour prévenir la non-conformité.

Cependant, l'UE peut imposer l'amende la plus élevée applicable dans un cas particulier. L'amende maximale ultime pourrait être de 20 millions d'euros (30 millions CAN $) ou de 4 % du revenu global annuel d'une entreprise, soit le montant le plus élevé des deux.

M^me Brown a déclaré que plusieurs de ses clients les plus importants sont aux prises avec les implications juridiques et opérationnelles du RGPD depuis 18 mois ou plus, mais que d'autres n'ont que récemment pris conscience qu'ils doivent être aussi prêts.

L'une de leurs priorités, a-t-elle dit, est de répondre rapidement si un internaute demande l'accès à ses informations personnelles ou des corrections à son dossier - deux droits reconnus par le RGPD.

«Les plus petites entreprises au Canada peuvent échapper à la vigilance pendant un certain temps, parce que les autorités de surveillance vont devoir établir des priorités, mais si quelqu'un dépose une plainte..., a déclaré Mme Brown. D'un point de vue financier, juridique et de réputation, vous ne voulez vraiment pas qu'une autorité de surveillance européenne frappe à votre porte.»

Les PME canadiennes peuvent commencer à se protéger en ayant en place un processus pour traiter les problèmes RGPD, dès que possible, a déclaré M^me Brown. «Faites un inventaire des données que vous avez, comprenez pourquoi vous les avez et documentez-les.»

Il est également important de pouvoir localiser les informations qui peuvent résider dans plusieurs endroits, comme un système interne, un service «nuage» sur les serveurs de quelqu'un d'autre, ou sur un appareil mobile comme un téléphone intelligent, a déclaré Matthew Tyrer, un dirigeant du bureau d'Ottawa de la société de protection des données Commvault.

L'arrivée du RGPD est une occasion pour Commvault ainsi que pour toute entreprise canadienne qui peut démontrer qu'elle a fait l'effort de protéger les données personnelles de ses clients, a ajouté M. Tyrer.

«Cela vous rendra encore plus compétitif et ce sont des choses que nous aurions probablement dû faire en premier lieu, quand on examine les faits», a-t-il dit.