Comprendre les exigences du RGPD
L’adoption du Règlement général sur la protection des données (RGPD) par l’Union européenne, en 2018, a déclenché une petite révolution dans la façon dont les entreprises qui offrent des applications et des sites web doivent traiter les données personnelles de leurs clients et partenaires. Des réformes inspirées par les principes du RGPD apparaissent petit à petit dans le cadre législatif international, notamment au Canada et en Californie. Le projet de loi 64, adopté par l’Assemblée nationale du Québec le 21 septembre 2021, s’inscrit dans cette tendance.
Par conséquent, connaître les exigences du RGPD (et y adhérer) constitue une nécessité non seulement pour les entreprises qui souhaitent faire affaire dans l’Union européenne, mais aussi pour celles qui veulent se préparer dès maintenant pour de futures réglementations similaires qui seront promulguées ailleurs dans le monde.
Pourquoi donc l’Union européenne a-t-elle adopté le RGPD ? Quelles sont ses exigences ? Et comment les entreprises qui offrent des produits et services en ligne peuvent-elles s’y conformer ?
Pourquoi l’Union européenne a-t-elle adopté le RGPD ?
Le RGPD vient remplacer un cadre législatif qui datait de quelques décennies et qui avait été conçu, à l’époque, pour favoriser l’équilibre entre l’exercice d’activités commerciales sur Internet et la vie privée. Cet équilibre a cependant été mis à mal par l’émergence de deux phénomènes que les législateurs n’avaient pas prévus. D’abord, l’apparition d’entreprises géantes dont les modèles d’affaires reposent précisément sur l’exploitation et le commerce des données personnelles, comme Amazon, Facebook et Google. Ensuite, la multiplication des téléphones intelligents et autres appareils connectés, qui facilitent la collecte de quantités phénoménales d’information sur chaque individu, souvent à son insu.
Conçu pour rétablir un certain équilibre entre les intérêts des entreprises et ceux des individus, le RGPD repose sur des principes adoptés en 1980 par l’Organisation de coopération et de développement économiques : limites à la collecte des données, consentement éclairé, transparence, protection de la vie privée. Il vise principalement à conférer aux personnes concernées un contrôle explicite sur la façon dont leurs données personnelles seront recueillies, traitées et sauvegardées par les entreprises avec lesquelles elles traitent.
Et pour que ce contrôle soit effectif, le RGPD impose aux entreprises des obligations qui ont du mordant. En cas de fuite ou d’utilisation illicite de données personnelles, les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise au cours de son exercice financier précédent. De quoi faire réfléchir !
Les grandes lignes du RGPD
Le principe directeur du RGPD consiste à donner aux personnes concernées toute l’information nécessaire pour effectuer des choix éclairés en matière de traitement de données personnelles. Les entreprises qui développent ou exploitent des applications web ou pour mobile sont tenues de fournir cette information de façon transparente et de se conformer aux décisions des individus. En pratique, ces principes se traduisent par les obligations suivantes :
- La personne concernée doit recevoir une information complète et facile à comprendre au sujet de ses droits, de la raison pour laquelle ses données sont recueillies et de la façon dont elles seront traitées;
- Les données personnelles doivent être traitées avec le consentement de la personne concernée et pour un motif légal et nécessaire;
- La personne concernée doit pouvoir donner un consentement éclairé, pour elle ou pour un enfant de moins de 16 ans sous sa tutelle;
- Ce consentement peut être modulé, par exemple en refusant à l’entreprise de recueillir des données de géolocalisation ou en n’acceptant qu’une partie des témoins de connexion (cookies) que l’entreprise souhaiterait enregistrer sur l’appareil de la personne concernée;
- Ce consentement peut être retiré en tout temps;
- Les données recueillies doivent se limiter à ce qui est strictement nécessaire pour accomplir l’opération à laquelle la personne concernée a donné son consentement;
- Les données ne doivent pas être conservées plus longtemps que ce qui est strictement nécessaire pour accomplir l’opération à laquelle la personne concernée a donné son consentement;
- La personne concernée peut accéder à ses données en tout temps, en obtenir une copie facile à traiter mécaniquement et exiger qu’elles soient corrigées au besoin;
- La personne concernée a droit à l’oubli et peut donc exiger que ses données soient effacées sur demande;
- La personne concernée a le droit de s’opposer à ce que ses données soient transmises à une tierce partie à des fins de ciblage publicitaire et, sauf exception, à des fins de modélisation par intelligence artificielle;
- Si une personne concernée estime que ses droits ont été violés, elle peut faire appel aux autorités réglementaires ou aux tribunaux.
Les entreprises qui recueillent des données sont tenues responsables de leur sécurité dès la collecte initiale, que le traitement se fasse chez elles ou chez un sous-traitant établi dans l’Union européenne ou ailleurs. Elles doivent dévoiler tout incident de sécurité aux autorités compétentes et aux personnes concernées, souvent en moins de 72 heures. Enfin, elles doivent tenir un registre des opérations de traitement de données et soumettre celui-ci à l’inspection des autorités compétentes sur demande.
Pourquoi les entreprises canadiennes doivent-elles se préoccuper du RGPD ?
Le RGPD concerne non seulement les entreprises européennes, mais aussi toutes celles qui recueillent, traitent ou entreposent des données personnelles d’habitants de l’Union européenne. Aussi bien dire toutes les entreprises qui ont une présence en ligne ou dont les services peuvent être utilisés, directement ou indirectement, dans l’Union européenne.
Par exemple, si votre entreprise accède à des informations sur des habitants de l’Union européenne recueillies par l’un de vos clients ou par l’un de vos fournisseurs, elle sera tenue de traiter ces données en conformité avec le RGPD. L’obligation s’étend aussi à la récolte passive d’informations au sujet des visiteurs européens d’un site Web, par exemple dans le but d’étudier le comportement de sa clientèle.
Même la cueillette de données fournies par des utilisateurs canadiens pendant qu’ils séjournent sur le territoire de l’UE pourrait être couverte par cette réglementation.
Comment se conformer au RGPD ?
La plupart des personnes expertes en la matière considèrent qu’il faut voir la conformité avec le RGPD comme une approche éthique intégrée au cœur des opérations de l’entreprise, plutôt que comme une liste de critères à cocher ou comme un correctif à apporter en fin de parcours. La protection de la vie privée doit être intégrée à toutes les étapes de la conception, du développement et du déploiement des produits et services en ligne. Par exemple :
- Avant de lancer un nouveau produit, l’organisation devra étudier en détail la nature des données nécessaires à son fonctionnement et le cheminement de ces données, au sein de l’organisation comme chez ses sous-traitants, de la cueillette initiale jusqu’à la destruction;
- L’équipe de conception et de développement de produits, les responsables de la sécurité informatique, les gestionnaires des ressources humaines, le contentieux, la haute direction et l’équipe de mise en marché devront connaître les principes du RGPD et les implanter dans leurs tâches respectives;
- L’organisation devra déterminer les risques pour la sécurité des personnes concernées;
- Le principe de « vie privée par défaut » devra s’appliquer partout et à toutes les étapes du cycle de vie des produits;
- La politique de vie privée devra expliquer clairement aux personnes concernées les raisons pour lesquelles l’entreprise souhaite recueillir et traiter des données et leur donner la possibilité d’accorder des permissions à la carte;
- Une application ou un site Web devra continuer à fonctionner même si la personne concernée refuse la collecte de données ou qu’elle demande qu’une partie de celles-ci soient effacées par la suite;
- L’organisation devra conclure des ententes formelles avec tous ses sous-traitants qui manipulent les données de ses clients afin de s’assurer que ceux-ci obéiront aux principes du RGPD, en particulier lorsque ces données franchissent les frontières de l’Union européenne;
- Certaines organisations devront désigner une personne responsable de la protection des données personnelles, qui devra conseiller l’organisation en matière de confidentialité et qui sera en contact direct et régulier avec les autorités réglementaires en cas de besoin;
- L’organisation devra mettre en place des procédures qui lui permettront de déceler les brèches de sécurité et autres pertes de confidentialité dans les plus brefs délais et d’en informer les autorités compétentes en moins de 72 heures.
- On recommande aussi à la plupart des organisations de mettre en place un procédé d’amélioration continue en matière de confidentialité et de vie privée.
Notez que le RGPD énonce des principes plutôt que des règles précises, puisque les meilleures pratiques à suivre peuvent varier selon les entreprises et les secteurs d’activité. Par exemple, certaines organisations ont des responsabilités particulières en raison de la « sensibilité » des données qu’elles manipulent. C’est notamment le cas de celles qui traitent des données génétiques ou biométriques ou des données personnelles d’enfants de moins de 16 ans.
À quoi s’attendre à l’avenir ?
Les experts s’entendent : le renforcement des protections de la vie privée, incarné par le RGPD, est enraciné. Au moment d’écrire ces lignes, le cadre imposé par le RGPD est le plus strict du monde, et il semble peu probable que d’autres autorités choisissent d’aller encore plus loin. Une entreprise dont les applications mobiles, sites Web et autres services en ligne se conforment au RGPD sera donc vraisemblablement en mesure d’exercer ses activités dans la plupart des pays du monde — et à se conformer à la réglementation qui encadrera bientôt les principes du projet de loi 64 du Québec.