Le Règlement général sur la protection des données (RGPD) impose différentes mesures aux entreprises, même celles à l’extérieur de l’Union européenne, qui récoltent des données personnelles sur les Européens, soit parce qu’elles leur vendent des biens et services ou qu’elles surveillent leur comportement. Toutes les entreprises ne sont pas soumises aux mêmes règles : ainsi, une société qui a comme «activité de base» le traitement de données personnelles aura plus de contraintes qu’une autre qui n’en récolte qu’indirectement. Le nom, l’adresse IP et l’adresse courriel sont considérés comme des données personnelles.

Le RGPD demande entre autres aux entreprises d’avoir un fichier central avec toutes les données personnelles collectées et de nommer un délégué à la protection des données dans certains cas. Elles donnent des droits supplémentaires aux citoyens, en leur permettant d’avoir accès aux données collectées sur eux, de les supprimer ou de les réclamer. Les entreprises ont aussi le fardeau de démontrer qu’elles respectent ces normes et de sécuriser les données.

Les amendes pour les récalcitrants sont salées : jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros (environ 30 millions $CAN). Même les avertissements peuvent faire très mal aux entreprises, en leur interdisant d’utiliser les données européennes jusqu’à ce qu’elles soient jugées conformes.

De nombreuses entreprises de partout à travers le monde, et donc ici aussi, doivent donc s’y conformer (lire autre texte).

«Le principe en matière numérique, c’est la globalisation», fait valoir Vincent Bureau, expert en protection des données. Les législations dépassent donc les frontières. «L’objectif c’est de rééquilibrer les droits des personnes avec le droit des affaires.»

Les entreprises européennes doivent se soumettre au RGPD, peu importe que leurs clients soient Européens ou Canadiens, spécifie Florent Gastaud, délégué à la protection des données chez OVH, un fournisseur de services infonuagiques. Pour ce qui est des entreprises internationales qui collectent des données européennes, plusieurs risques d’imposer cette réglementation à toutes leurs filiales. Les Canadiens ont ainsi acquis par la bande de nouveaux droits.

«L’effet direct c’est que les Canadiens bénéficient de plus de protection étant donné que la réglementation européenne est extra protectrice en matière de données personnelles», note M. Gastaud.

Ils ont plus de droits, dit-il, et une meilleure maîtrise de leurs données. Plus de sécurité, de garanties et de transparence, résume-t-il.

D’une app à l’autre
Par exemple, vous pourrez demander à une entreprise d’avoir accès à vos données, de les supprimer. Mais vous pourrez même demander à ce qu’on vous les restitue pour que vous puissiez les réutiliser. C’est le droit de portabilité des données.

M. Gastaud donne l’exemple d’un consommateur qui utilise une application de course depuis un an. S’il décide de changer pour une autre application du même genre, il a dorénavant le droit de demander à l’application A de lui remettre ses données (historique de courses, trajets, temps). Il pourra ainsi les utiliser dans l’application B plutôt que de recommencer à zéro. Des droits qui donneront peut-être des maux de tête à quelques entreprises, si les demandes se multiplient.

Autre bonne nouvelle, les données ne peuvent plus être gardées ad vitam aeternam. «Un des grands principes de la réglementation, c’est le fait que vous ne puissiez conserver les données que pendant une période qui est considérée comme proportionnée», fait valoir M. Gastaud.

Les entreprises ne pourront plus non plus collecter n’importe quelle information, au cas, indique Aleksandra Logist, la responsable du bureau canadien chez ACTITO, un logiciel de marketing automation qui répond aux exigences du RGPD. Il y a un changement d’approche qui devra être fait, note-t-elle, pour «ne pas collecter les données si on n’en a pas besoin».

En France, des plaintes ont déjà été déposées contre des géants du Web. «C’est bien reçu et c’est vu comme étant une arme qui va pouvoir être utilisée pour obtenir une meilleure protection des données, notamment des grands acteurs du numérique», note M. Gastaud.

Les effets de ces règles se font sentir chez nous. Facebook a par exemple envoyé une alerte aux Canadiens concernant la protection de leur vie privée.

Par ailleurs, les importantes sanctions sont un incitatif très important pour les entreprises, qui ne pourront ignorer la loi, font valoir les experts.

+

DES ENTREPRISES CANADIENNES TOUCHÉES

Bien des entreprises canadiennes sont touchées par les nouvelles normes européennes sur la protection des données : certaines travaillent à s’y conformer, d’autres ne savent même pas qu’elles sont concernées, mais toutes devraient s’y intéresser, selon des experts. 

Qui est touché? Entre autres les entreprises de technologies de l’information, de marketing, des entreprises faisant affaire avec l’Europe, celles aussi qui cherchent à attirer les touristes ou les travailleurs européens. Mais c’est encore plus vaste.

«À notre époque, il faut savoir que toutes les compagnies ont des sites Web. À partir du moment où vous avez des visites de citoyens européens, quelque part vous devez aussi vous conformer au GDPR. On s’entend, c’est très, très, très large, et en fait il y a énormément de compagnies au Canada qui sont concernées, mais qui ne le savent pas vraiment», indique Aleksandra Logist, la responsable du bureau canadien chez ACTITO, un logiciel de marketing automation qui répond aux exigences du RGPD. «C’est très rare les sites qui ne récoltent aucune donnée.» 

Parfois, ce ne peut être que pour compter les statistiques de visites, mais comme l’adresse IP est considérée comme une donnée personnelle, le RGPD s’applique, précise  Florent Gastaud, délégué à la protection des données chez OVH.

«Même les compagnies qui ne sont pas touchées directement par le GDPR, parce qu’elles n’ont pas de citoyens européens dans leurs bases de données, il faut quand même qu’elles pensent à s’y conformer, parce qu’en fait, le Canada et l’Europe ont toujours un peu été sur la même longueur d’onde au niveau des données. Donc souvent, ce qui se fait en Europe finit par arriver ici. Ça se peut que dans un an, on ait un équivalent du RGPD au Canada», estime Mme Logist.

Mme Logist participait cette semaine à une conférence à la demande de Québec International, pour informer les entreprises. Elle était aux côtés de Vincent Bureau, expert en protection de données personnelles.

Lié aux investissements

Même son de cloche de M. Bureau : ces règles s’en viennent au Canada et relèvent les standards mondiaux. Son message aux entreprises : intéressez-vous au RGPD. L’expert en protection des données voit la conformité avec ces règles comme un avantage pour les entreprises, à l’heure où l’éthique est sur toutes les lèvres. Ça fait maintenant partie des critères principaux des investisseurs, dit-il. «Les banques vont regarder ça pour prêter de l’argent, parce que ça va vouloir dire la capacité d’exporter. […] Vous prenez les jeunes pousses : il n’y aura plus d’investissements sans ça.»

Et c’est payant de se conformer, ajoute-t-il. «Microsoft affiche un travail de conformité 100 % mondial avec RGPD et gagne des parts des marchés.»

S’il faut prévoir du temps et des investissements pour se conformer, ça ne sera pas lourd pour toutes les entreprises. «Si vous êtes une compagnie qui a toujours bien collecté les données, […] si vous avez toujours eu le consentement, vous choisissez bien vos fournisseurs», la marche ne sera pas si haute, constate Mme Logist. Tout le volet lié au consentement est en général déjà bien fait par les entreprises canadiennes, en raison de notre loi antipourriel (C-28). «C’est un peu la loi C-28 sous stéroïdes», image Mme Logist.

Certains entrepreneurs tombent des nues et paniquent un peu, a constaté Mme Logist. Des sites Internet américains ont même bloqué l’accès aux citoyens européens. Dans le doute, les experts conseillent de s’informer... auprès d’experts justement!

+

MONTRER PATTE BLANCHE

«On veut créer un robot pour aider les gens à surmonter leur anxiété. Et donc forcément, la question de la protection des données et la sécurité des informations était très importante pour nous, surtout pour nos utilisateurs», explique Edouard Ferron-Mallet, un des fondateurs de l’application Mr. Young. La jeune pousse, qui utilise l’intelligence artificielle pour discuter avec les internautes anxieux, a donc intégré les principes du Règlement général sur la protection des données à la conception (RGPD) même de sa plateforme, dont la nouvelle mouture sort dans quelques semaines. Et ce, même si pour l’instant elle n’a pas l’ambition de s’adresser aux Européens. «On s’est dit que de toute façon, le Canada allait s’aligner là-dessus un moment donné», note-t-il. Ils ont l’aide de l’expert en protection des données Vincent Bureau dans leurs démarches. «Ce n’est pas aussi contraignant qu’on pense», constate-t-il. Pour la start-up, être conforme à ces règles est un atout pour gagner la confiance de clients et de partenaires.