Un vent de panique s’abat sur le monde numérique suite à l’adoption du Règlement général sur la protection des données (RGPD).

Je ne prétends pas tout comprendre de ce règlement et mon avis ne remplace pas celui d’un juriste formé en droit numérique (que je vous invite à consulter sur le sujet), mais je vous partage ma position et quelques pistes à la sauce « gros bon sens » que j’affectionne tant, pour mieux vous y retrouver.

Appliquer le RGPD au Québec — Le Règlement (UE) 2016/679 du parlement européen et du
conseil de l’Union européenne a pris effet le 25 mai 2018.

Les « on dit »

À la base, une grande partie de cette panique provient des « on dit », des « j’ai entendu » et des « il parait ». Car sur le RGPD, les opinions et les interprétations sont variées, allant de la nonchalance au scénario catastrophe. Même les juristes ne s’entendent pas d’un pays à l’autre.

L’affirmation la plus répandue est qu’à partir du moment où un visiteur de l’Union Européenne navigue sur ton site, tu dois respecter toutes les obligations du règlement, que tu fasses des affaires ou non avec l’Europe.

Sur cette seule rumeur, plusieurs entreprises, prises de panique, ont tout simplement bloqué l’accès à leur site aux visiteurs provenant de l’un des États membres. Pourtant, à la lumière de ce que j’ai compris, je ne crois pas que ce soit exact.

Pourquoi ce règlement

L’objectif est simple : permettre aux citoyens de l’Union européenne (UE) de mieux contrôler leurs données à caractère personnel.

Internet et la mondialisation ont fait de nous les citoyens d’une société planétaire où les droits de l’un finissent là où ceux de l’autre débutent. Malheureusement, chacun interprète les limites (les siennes et celles de l’autre) à sa façon et ce sont les abus et débordements en tous genres qui rendent nécessaire l’établissement de balises claires. Ergo les lois et règlements.

Une donnée isolée est généralement anonyme et banale. Mais avec les outils actuels qui permettent le traitement automatisé des données comme l’agrégation, l’analyse, le croisement et le recoupement des données (A+B+C+D=X), la vie privée est réellement compromise. La pub de voyage qui vous suit soudainement au fil de vos séances sur le Web après que vous ayez partagé une photo de Cuba sur Facebook n’est pas un hasard.

À force de croisement, on peut facilement avoir accès à des données personnelles sensibles très précises (identité, ethnie, état de santé, allégeances politiques, préférences sexuelles, etc.). Cette information personnelle pigée ici et là, à l’insu de l’individu, permet de mieux le cibler, que ce soit pour de la pub… ou de la manipulation (pensez aux élections américaines).

Le Big Data, c’est du sérieux! Notre vie privée n’est plus et ce règlement vise à redonner aux citoyens de l’UE le contrôle sur les données personnelles qui sont collectées à leur sujet.

Qui est visé

Votre entreprise est-elle *réellement* visée et concernée par ce Règlement?

Si vous êtes basé dans l’un des États membres de l’UE, les chances sont que vous faites des affaires localement et que vous êtes évidemment visé et devez vous conformer. Cas réglé!

Pour les entreprises basées hors de l’Union Européenne, c’est différent. Elles sont assujetties à ce règlement « quand elles proposent des services ou des biens, ou suivent le comportement des personnes au sein de l’UE ». (source : EUR-Lex – Synthèse du règlement que je vous recopie en bas d’article pour vous sauver un clic)

En d’autres termes, si vous desservez une clientèle exclusivement canadienne et qu’un citoyen de l’UE s’aventure sur votre site Web et y laisse son adresse IP, s’il « aime » l’une de vos publications Facebook ou visite votre blogue en y laissant un commentaire identifié avec son nom et son adresse courriel, non, ça ne fait pas automatiquement tomber votre entreprise sous l’emprise du RGPD.

Toutefois, si vous êtes une agence de marketing numérique qui n’avez aucun client ni ne visez directement les citoyens dans un État membre de l’UE, mais que vous collectez, analysez et utilisez des données de citoyens de l’UE pour l’un de vos clients qui LUI, cible ce marché, alors là, oui, vous devez vous conformer, car vous agissez comme si vous étiez une extension de votre client qui, lui, est visé par ce règlement.

Vous avez une boutique en ligne qui offre des produits aux citoyens de l’UE? Vous avez une plateforme de formation en ligne à laquelle des citoyens de l’UE peuvent s’inscrire pour suivre vos cours? Vous offrez des services de coaching par Skype à des citoyens de l’UE? Oui, vous êtes définitivement concerné par ce règlement et devez vous y conformer depuis le 25 mai 2018.

Adopter de saines pratiques

Comme toute nouvelle loi, le RGDP sera mis au défi et tous les yeux seront tournés vers l’UE au cours des prochaines années pour voir comment ce règlement sera imposé et mis en pratique au quotidien. Il fera également l’objet d’une évaluation et d’un réexamen d’ici 2020 et il y a fort à parier que certains articles seront modifiés et ajustés.

D’ici là, il faudra vous conformer si vous visez le marché européen et ça débute par une révision générale de vos pratiques de collection, de stockage, d’utilisation et de gestion des données, allant de la validité du consentement donné à la pertinence et la sécurité de l’information collectée.

Ça implique également l’adoption et la rédaction d’une politique de confidentialité détaillée (voici la nôtre) qui informe vos clients et visiteurs de vos pratiques en matière de données personnelles. Vous avez probablement déjà reçu quantité de courriels de la part des gestionnaires de vos différents comptes numériques vous invitant à prendre connaissance de leur nouvelle politique de confidentialité en lien avec le RGDP. Pourquoi ne pas vous en inspirer?

Que votre entreprise soit assujettie ou non au RGDP, ce règlement est un important rappel :

qu’il n’est plus éthique à proprement parler de simplement collecter de l’information personnelle, juste au cas où on en aurait besoin plus tard;

que nous ne pouvons pas l’utiliser à d’autres fins que celles pour lesquelles elle a été collectée;

que le consentement de l’individu qui donne cette information doit être délibéré, clair et volontaire pour les fins établies;

que tout consentement reçu peut être révoqué en tout temps (il n’est plus irrévocable comme auparavant);

que cette information, même volontairement donnée, demeure la propriété de la personne qui est visée et qu’elle doit pouvoir la consulter, la contester et la faire détruire si elle le désire;

qu’à titre de dépositaire de ces données, nous avons la responsabilité de la protéger contre le vol et l’utilisation malveillante.

Bref, demander de l’information personnelle à un prospect pour pouvoir lui fournir une proposition d’assurance est une chose. La stocker indéfiniment dans une base de données dans le but de lui faire des relances futures, alors que le prospect n’a finalement pas accepté notre proposition, n’est plus acceptable (à moins qu’il y ait explicitement consenti).

Somme toute, ce règlement est une bonne occasion d’implanter de saines pratiques de gestion des données de vos visiteurs et clients, même si vous n’êtes pas directement visé par le RGPD. Parce que ça fait du sens tant au niveau du respect que de la transparence et de l’éthique d’entreprise envers sa clientèle… et que ce n’est qu’une question de temps avant que le Québec et le Canada emboîtent le pas et se dotent d’une réglementation numérique très similaire. Nous avons déjà la Loi C-28 concernant le consentement pour les courriels, le reste suit très très prochainement.

Quelques liens pour en savoir plus

Le texte lui-même de la législation (document PDF). Si vous ne voulez pas vous taper les 88 pages du projet ou désirez vous sauver un clic, je vous reproduis la « Synthèse de la législation » en bas de cet article.
Un cours vidéo gratuit (env. 80 minutes en anglais) bien divisé et très bien vulgarisé sur la préparation au RDPD. Je vous suggère très fortement de l’écouter au moins une fois.

Les grandes lignes si vous êtes visé

Par souci d’exactitude (et pour vous sauver un clic), je vous reproduis ici intégralement le texte de synthèse tel que publié sur le site EUR-Lex et qui donne les grandes lignes du règlement.

Protection des données à caractère personnel (à partir de 2018)

SYNTHÈSE DU DOCUMENT

Règlement (UE) 2016/679 — Protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

QUEL EST L’OBJET DE CE RÈGLEMENT?

Il permet aux citoyens de l’Union européenne (UE) de mieux contrôler leurs données à caractère personnel. Il modernise et uniformise également les règles permettant aux entreprises de diminuer la bureaucratie et de profiter d’une meilleure confiance du consommateur.
Le règlement général sur la protection des données (RGPD) fait partie du paquet de réformes de l’UE sur la protection des données, et de la directive sur la protection des données dans les secteurs de la police et de la justice pénale.

POINTS CLÉS

Droits des citoyens

Le RGPD renforce les droits existants, octroie de nouveaux droits et accorde aux citoyens un meilleur contrôle sur leurs données à caractère personnel, notamment:

un meilleur accès à leurs données — y compris en fournissant plus d’informations sur la manière dont les données sont traitées et en garantissant que ces informations sont disponibles de manière claire et compréhensible;
un nouveau droit à la portabilité des données — destiné à faciliter le transfert de données à caractère personnel entre prestataires de services;
un droit d’effacement («droit à l’oubli») plus clair — lorsqu’une personne ne souhaite plus que ses données soient traitées et qu’il n’existe pas de motif légitime de les conserver, les données seront effacées;
le droit de savoir quand ses données à caractère personnel ont été piratées — les entreprises et les organisations devront informer sans délai les personnes en cas de violation grave des données. Elles devront également en informer les autorités de contrôle de la protection des données compétentes.

Règles pour les entreprises

Le RGPD est conçu pour créer des opportunités commerciales et encourager l’innovation grâce à différentes mesures, y compris:

un ensemble unique de règles européennes — une législation européenne unique pour la protection des données représenterait une économie de 2,3 milliards d’euros par an;
un délégué à la protection des données, chargé de la protection des données, sera désigné par les autorités publiques et par les entreprises qui traitent les données à grande échelle;
un guichet unique — les entreprises ne doivent traiter qu’avec une seule autorité de contrôle (dans le pays de l’UE dans lequel elles sont principalement implantées);
des règles européennes pour les entreprises non européennes — les entreprises basées en dehors de l’UE doivent appliquer les mêmes règles quand elles proposent des services ou des biens, ou suivent le comportement des personnes au sein de l’UE;
des règles propices à l’innovation — une garantie que les mesures de protection des données sont intégrées dans les produits et les services depuis les premières étapes du développement (protection des données dès la conception et par défaut);
des techniques respectueuses de la vie privée telles que la pseudonymisation (lorsque les champs d’identification dans un enregistrement de données sont remplacés par un ou plusieurs identifiants factices) et le chiffrement (lorsque les données sont codées de manière telle que seules les parties autorisées peuvent les lire);
la suppression des notifications — les nouvelles règles de protection des données supprimeront la plupart des obligations de notification et les coûts associés à ces obligations. Un des objectifs du règlement sur la protection des données consiste à supprimer les obstacles au libre flux des données à caractère personnel au sein de l’UE. Il permettra aux entreprises de se développer plus facilement;
des analyses d’impact — les entreprises devront effectuer des analyses d’impact lorsque le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes physiques;
la tenue des registres — les PME ne sont pas obligées de tenir des registres des activités de traitement, à moins que le traitement ne soit régulier ou susceptible d’engendrer un risque pour les droits et libertés de la personne dont les données sont traitées.

Réexamen

La Commission européenne doit présenter un rapport sur l’évaluation et le réexamen du présent règlement au plus tard le 25 mai 2020.

À PARTIR DE QUAND CE RÈGLEMENT S’APPLIQUERA-T-IL?

Le RGPD s’appliquera à partir du 25 mai 2018.

CONTEXTE

Pour plus d’informations, veuillez consulter:

communiqué de presse (Commission européenne);
la page internet «Réforme des règles de l’UE en matière de protection des données 2018» (Commission européenne).

DOCUMENT PRINCIPAL

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)

ACTES LIÉS

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)

dernière modification 21.11.2016

Mme Natmark

Depuis 1997, je conseille et j’assiste les PME et les Solopreneurs dans la prise de décisions et le choix de solutions qui leur ressemblent et leur conviennent. On me consulte tout spécialement pour avoir l’heure juste quand l’arbre semble cacher la forêt et pour clarifier les réels besoins face à un nouveau projet difficile à cerner.