Comprendre les exigences du RGPD (2021)

Laurent Gloaguen

English

L’adoption du Règlement général sur la protection des données (RGPD) par l’Union européenne, en 2018, a déclenché une petite révolution dans la façon dont les entreprises qui offrent des applications et des sites web doivent traiter les données personnelles de leurs clients et partenaires. Des réformes inspirées par les principes du RGPD apparaissent petit à petit dans le cadre législatif international, notamment au Canada et en Californie. Le projet de loi 64, adopté par l’Assemblée nationale du Québec le 21 septembre 2021, s’inscrit dans cette tendance.

Par conséquent, connaître les exigences du RGPD (et y adhérer) constitue une nécessité non seulement pour les entreprises qui souhaitent faire affaire dans l’Union européenne, mais aussi pour celles qui veulent se préparer dès maintenant pour de futures réglementations similaires qui seront promulguées ailleurs dans le monde.

Pourquoi donc l’Union européenne a-t-elle adopté le RGPD ? Quelles sont ses exigences ? Et comment les entreprises qui offrent des produits et services en ligne peuvent-elles s’y conformer ?

Pourquoi l’Union européenne a-t-elle adopté le RGPD ?

Le RGPD vient remplacer un cadre législatif qui datait de quelques décennies et qui avait été conçu, à l’époque, pour favoriser l’équilibre entre l’exercice d’activités commerciales sur Internet et la vie privée. Cet équilibre a cependant été mis à mal par l’émergence de deux phénomènes que les législateurs n’avaient pas prévus. D’abord, l’apparition d’entreprises géantes dont les modèles d’affaires reposent précisément sur l’exploitation et le commerce des données personnelles, comme Amazon, Facebook et Google. Ensuite, la multiplication des téléphones intelligents et autres appareils connectés, qui facilitent la collecte de quantités phénoménales d’information sur chaque individu, souvent à son insu.

Conçu pour rétablir un certain équilibre entre les intérêts des entreprises et ceux des individus, le RGPD repose sur des principes adoptés en 1980 par l’Organisation de coopération et de développement économiques : limites à la collecte des données, consentement éclairé, transparence, protection de la vie privée. Il vise principalement à conférer aux personnes concernées un contrôle explicite sur la façon dont leurs données personnelles seront recueillies, traitées et sauvegardées par les entreprises avec lesquelles elles traitent.

Et pour que ce contrôle soit effectif, le RGPD impose aux entreprises des obligations qui ont du mordant. En cas de fuite ou d’utilisation illicite de données personnelles, les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise au cours de son exercice financier précédent. De quoi faire réfléchir !

Les grandes lignes du RGPD

Le principe directeur du RGPD consiste à donner aux personnes concernées toute l’information nécessaire pour effectuer des choix éclairés en matière de traitement de données personnelles. Les entreprises qui développent ou exploitent des applications web ou pour mobile sont tenues de fournir cette information de façon transparente et de se conformer aux décisions des individus. En pratique, ces principes se traduisent par les obligations suivantes :

  • La personne concernée doit recevoir une information complète et facile à comprendre au sujet de ses droits, de la raison pour laquelle ses données sont recueillies et de la façon dont elles seront traitées;
  • Les données personnelles doivent être traitées avec le consentement de la personne concernée et pour un motif légal et nécessaire;
  • La personne concernée doit pouvoir donner un consentement éclairé, pour elle ou pour un enfant de moins de 16 ans sous sa tutelle;
  • Ce consentement peut être modulé, par exemple en refusant à l’entreprise de recueillir des données de géolocalisation ou en n’acceptant qu’une partie des témoins de connexion (cookies) que l’entreprise souhaiterait enregistrer sur l’appareil de la personne concernée;
  • Ce consentement peut être retiré en tout temps;
  • Les données recueillies doivent se limiter à ce qui est strictement nécessaire pour accomplir l’opération à laquelle la personne concernée a donné son consentement;
  • Les données ne doivent pas être conservées plus longtemps que ce qui est strictement nécessaire pour accomplir l’opération à laquelle la personne concernée a donné son consentement;
  • La personne concernée peut accéder à ses données en tout temps, en obtenir une copie facile à traiter mécaniquement et exiger qu’elles soient corrigées au besoin;
  • La personne concernée a droit à l’oubli et peut donc exiger que ses données soient effacées sur demande;
  • La personne concernée a le droit de s’opposer à ce que ses données soient transmises à une tierce partie à des fins de ciblage publicitaire et, sauf exception, à des fins de modélisation par intelligence artificielle;
  • Si une personne concernée estime que ses droits ont été violés, elle peut faire appel aux autorités réglementaires ou aux tribunaux.

Les entreprises qui recueillent des données sont tenues responsables de leur sécurité dès la collecte initiale, que le traitement se fasse chez elles ou chez un sous-traitant établi dans l’Union européenne ou ailleurs. Elles doivent dévoiler tout incident de sécurité aux autorités compétentes et aux personnes concernées, souvent en moins de 72 heures. Enfin, elles doivent tenir un registre des opérations de traitement de données et soumettre celui-ci à l’inspection des autorités compétentes sur demande.

Pourquoi les entreprises canadiennes doivent-elles se préoccuper du RGPD ?

Le RGPD concerne non seulement les entreprises européennes, mais aussi toutes celles qui recueillent, traitent ou entreposent des données personnelles d’habitants de l’Union européenne. Aussi bien dire toutes les entreprises qui ont une présence en ligne ou dont les services peuvent être utilisés, directement ou indirectement, dans l’Union européenne.

Par exemple, si votre entreprise accède à des informations sur des habitants de l’Union européenne recueillies par l’un de vos clients ou par l’un de vos fournisseurs, elle sera tenue de traiter ces données en conformité avec le RGPD. L’obligation s’étend aussi à la récolte passive d’informations au sujet des visiteurs européens d’un site Web, par exemple dans le but d’étudier le comportement de sa clientèle.

Même la cueillette de données fournies par des utilisateurs canadiens pendant qu’ils séjournent sur le territoire de l’UE pourrait être couverte par cette réglementation.

Comment se conformer au RGPD ?

La plupart des personnes expertes en la matière considèrent qu’il faut voir la conformité avec le RGPD comme une approche éthique intégrée au cœur des opérations de l’entreprise, plutôt que comme une liste de critères à cocher ou comme un correctif à apporter en fin de parcours. La protection de la vie privée doit être intégrée à toutes les étapes de la conception, du développement et du déploiement des produits et services en ligne. Par exemple :

  • Avant de lancer un nouveau produit, l’organisation devra étudier en détail la nature des données nécessaires à son fonctionnement et le cheminement de ces données, au sein de l’organisation comme chez ses sous-traitants, de la cueillette initiale jusqu’à la destruction;
  • L’équipe de conception et de développement de produits, les responsables de la sécurité informatique, les gestionnaires des ressources humaines, le contentieux, la haute direction et l’équipe de mise en marché devront connaître les principes du RGPD et les implanter dans leurs tâches respectives;
  • L’organisation devra déterminer les risques pour la sécurité des personnes concernées; 
  • Le principe de « vie privée par défaut » devra s’appliquer partout et à toutes les étapes du cycle de vie des produits;
  • La politique de vie privée devra expliquer clairement aux personnes concernées les raisons pour lesquelles l’entreprise souhaite recueillir et traiter des données et leur donner la possibilité d’accorder des permissions à la carte;
  • Une application ou un site Web devra continuer à fonctionner même si la personne concernée refuse la collecte de données ou qu’elle demande qu’une partie de celles-ci soient effacées par la suite;
  • L’organisation devra conclure des ententes formelles avec tous ses sous-traitants qui manipulent les données de ses clients afin de s’assurer que ceux-ci obéiront aux principes du RGPD, en particulier lorsque ces données franchissent les frontières de l’Union européenne;
  • Certaines organisations devront désigner une personne responsable de la protection des données personnelles, qui devra conseiller l’organisation en matière de confidentialité et qui sera en contact direct et régulier avec les autorités réglementaires en cas de besoin;
  • L’organisation devra mettre en place des procédures qui lui permettront de déceler les brèches de sécurité et autres pertes de confidentialité dans les plus brefs délais et d’en informer les autorités compétentes en moins de 72 heures.
  • On recommande aussi à la plupart des organisations de mettre en place un procédé d’amélioration continue en matière de confidentialité et de vie privée.

Notez que le RGPD énonce des principes plutôt que des règles précises, puisque les meilleures pratiques à suivre peuvent varier selon les entreprises et les secteurs d’activité. Par exemple, certaines organisations ont des responsabilités particulières en raison de la « sensibilité » des données qu’elles manipulent. C’est notamment le cas de celles qui traitent des données génétiques ou biométriques ou des données personnelles d’enfants de moins de 16 ans.

Understanding the GDPR requirements

The European Union’s adoption of the General Data Protection Regulation (GDPR) in 2018 constitutes a sea change in the way companies with apps and websites handle their customer and partner data. Taking their cue from the GDPR’s principles, reforms are gradually making their way in the world’s legislative frameworks, particularly in Canada and California. Bill 64, adopted by the Quebec National Assembly on September 21, 2021, is one of these.

Understanding and adhering to the requirements of the GDPR is critical not only for companies who do business in the European Union, but also for those who want to anticipate similar regulations that could be enacted elsewhere.

Why then did the European Union draft the GDPR? What are its requirements? And how can businesses that offer online products and services comply with it?

Why did the European Union adopt the GDPR?

The GDPR replaces a legislative framework that dates back several decades and was designed to strike a balance between privacy and on-line trade. This balance was undermined, however, by the advent of two new realities that lawmakers did not anticipate. First, the emergence of giant companies whose business model is predicated on the very use and sale of personal data, such as Amazon, Facebook and Google. Second, the proliferation of smartphones and other connected devices, which facilitate the collection of phenomenal amounts of information on individuals, often without their knowledge.

Meant to restore a better balance between the interests of companies and those of individuals, the GDPR is based on principles adopted in 1980 by the Organization for Economic Co-operation and Development: limits to data collection, informed consent, transparency, and privacy protection. Its main purpose is to give individuals explicit control over how their personal data is collected, processed and stored by the companies with which they deal.

This control proves effective because the GDPR clearly sets out the rules and responsibilities for companies – and has the teeth to enforce them. In the event of a data leak or unlawful use of personal data, penalties can reach 20 million euros or 4% of the previous year’s worldwide income. This gets companies’ attention!

The GDPR’s main principle

The GDPR’s guiding principle is to give stakeholders all the necessary information to make smart choices when it comes to the handling of personal data. Companies that develop or operate web or mobile applications are required to provide this information transparently and to abide by individuals’ decisions. In practice, these principles translate to the following obligations:

  • Stakeholders must be provided with complete and easy-to-understand information about their rights, the purpose for which their data is collected and how it will be handled;
  • Personal data must be collected with the consent of the individual and for a legal and necessary reason;
  • The individual must be able to give informed consent, for him or herself or for a child under 16 years of age under their guardianship;
  • This consent can be qualified, by denying the company the right to collect geolocation data for example, or by accepting only part of the cookies that the company would like to cache on the subject’s device;
  • This consent can be withdrawn at any time;
  • The data collected must be limited to what is strictly necessary to perform the operation to which the individual has consented;
  • The data cannot be kept longer than strictly necessary to perform the operation to which the individual has consented;
  • Stakeholders can access their data at any time, obtain a copy that is easily readable and demand that it be corrected if necessary;
  • Individuals have “the right to be forgotten” and can therefore demand that their data be erased;
  • Individuals have the right to object to their data being transferred to a third party for targeted advertising purposes and, with some exceptions, for artificial intelligence modeling purposes;
  • If an individual believes that their rights have been breached, they can appeal to regulatory authorities or to the courts.

Companies that handle data are responsible for its security from initial collection, whether the processing takes place in-house or by a subcontractor established in the European Union or elsewhere. They must disclose any security breach to the competent authorities and to the persons concerned, usually within 72 hours. Finally, they must keep a log of data processing operations and submit it for inspection by the competent authorities on demand.

Why should Canadian companies care about the GDPR?

The GDPR concerns not only European companies, but also all those that collect, process or store the personal data of European Union residents — this means all companies that have an online presence or whose services are available, directly or indirectly, in the European Union.

For example, if your business has access to information about residents of the European Union collected by one of your clients or suppliers, it will be required to process that data in accordance with the GDPR. This extends to passively collecting information about European visitors to your website, for the purpose of studying customer behavior, for example. This could even include the collection of data provided by Canadian users while in the EU.

Complying with the GDPR

Most experts see GDPR compliance as a matter of ethics built into the core of business operations, rather than as a checklist or an end-of-the-line fix. Privacy protection must be incorporated into all stages of the design, development and launch of online products and services. For example:

  • Before releasing a new product, companies must study in detail the type of data necessary for its operation, and the flow of this data within their organization and among their subcontractors, from initial collection to final deletion;
  • Product design and development teams, IT security and human resources managers, in-house legal counsel, senior management and marketing teams will need to become familiar with the GDPR principles and implement them in their respective areas;
  • Companies will need to determine the risks to the security of the people concerned;
  • The principle of "privacy by default" should apply everywhere and at all stages of the product life cycle;
  • Companies’ privacy policies should clearly explain the reasons why they wish to collect and process data and give individuals the choice of granting customized permission;
  • Applications and websites must continue to function even if subjects refuse to allow data collection or request its subsequent deletion;
  • Companies will need to set up formal agreements with all subcontractors who handle customer data to ensure that they observe the GDPR, especially when this data leaves the European Union;
  • Some companies will need to designate a person responsible for the protection of personal data, who will advise the organization on confidentiality matters and who will be in direct and regular contact with the regulatory authorities when necessary;
  • Companies should put procedures in place that allow them to detect security and other confidentiality breaches as quickly as possible and notify the relevant authorities within 72 hours.
  • Companies should set up a continuous improvement process for confidentiality and privacy.

The GDPR sets out principles rather than specific rules because best practices will vary between companies and industries. Some organizations, for example, have an added responsibility due to the sensitivity of the data they handle. This is particularly the case for those who process genetic or biometric data or the data of children under the age of 16.

What to expect

Experts agree that strengthened privacy protection, embodied by the GDPR, is here to stay. As of this writing, the framework imposed by the GDPR is the strictest anywhere, and it seems unlikely that other authorities will take it even further. A company whose mobile apps, websites and other online services comply with the GDPR will probably be able to operate in most countries, while meeting the requirements that will soon frame the legislative guidelines of Quebec’s Bill 64.