Antoine Guilmain a parlé à TrackTik du Règlement général sur la protection des données (RGPD) et de son impact sur les entreprises en Europe, mais aussi en Amérique du Nord.
Antoine Guilmain est avocat au bureau de Montréal de Fasken et membre du groupe Protection de l’information et de la vie privée. Ses domaines de pratique sont la protection des renseignements personnels, l’accès à l’information, la publicité et le marketing en ligne, la cybersécurité et les nouvelles technologies. En particulier, en tant qu’avocat au barreau de Paris et titulaire de la certification électronique/PPIC, il assiste de nombreux clients dans leurs démarches de conformité dans le cadre du GDPR. Il détient également un doctorat en droit des technologies de l’information de l’Université de Montréal et de l’Université Paris 1 Panthéon-Sorbonne.
Le règlement général sur la protection des données entrera en vigueur en mai 2018. En quoi diffère-t-elle de l’ancienne directive sur la protection des données des années 90?
Antoine : Le RGPD diffère de la directive à bien des égards, et je vais vous donner quelques exemples. Premièrement, contrairement à la directive, le RGPD est un statut législatif contraignant, qui doit être appliqué dans son intégralité dans toute l’UE. Deuxièmement, la définition des données à caractère personnel a été considérablement élargie. Il comprend, bien sûr, le nom de la personne, les adresses courriel, les numéros de téléphone, etc., mais aussi les adresses IP, l’identifiant de l’appareil mobile, la géolocalisation, les données biométriques, et ainsi de suite. Troisièmement, le RGPD confère à l’individu de nouveaux droits, tels que le droit bien connu d’être oublié, le droit à la transférabilité des données et le droit de ne pas être soumis à une décision fondée uniquement sur le profilage. Enfin, n’oublions pas la disposition sur la notification obligatoire des atteintes à la vie privée et le concept de la protection de la vie privée dès la conception, qui sont très importants dans cette nouvelle mesure législative.
Le consentement constitue une part importante du RGPD. Quelle est la définition du consentement? Que conseillez-vous aux entreprises qui doivent se conformer à cette définition?
Antoine : Selon le RGPD, le consentement est défini comme étant « toute indication librement donnée, spécifique, informée et sans ambiguïté de la volonté de la personne concernée par laquelle celle-ci, par une déclaration ou par une action positive, signifie son consentement au traitement des données à caractère personnel la concernant ». Oof!
Au-delà de cette définition conceptuelle, j’aurais deux conseils pratiques à donner aux entreprises. Premièrement, vous n’avez pas toujours besoin du consentement, car d’autres motifs légitimes peuvent s’appliquer; deuxièmement, vérifiez vos pratiques en matière de consentement et votre consentement existant du point de vue individuel. En d’autres termes, vous devriez jeter un coup d’œil à votre propre formulaire de consentement pour voir s’il est simple à comprendre pour vous et s’il y a une indication claire que vous êtes d’accord.
Y a-t-il controverse au sujet du consentement?
Antoine : La réponse est oui; le consentement doit être explicite pour les données sensibles. Et jusqu’à présent, nous ne savons pas encore exactement quelle sera la différence entre le consentement pour des données personnelles normales et les critères d’explicitation pour des données sensibles. Nous attendons toujours des directives à cet égard.
Pensez-vous que le RGPD renouvellera la confiance des clients dans les entreprises?
Antoine : Eh bien, il est difficile de prédire l’avenir, mais c’est la raison d’être même du GDPR. À cet égard, si vous regardez le préambule du GDPR, vous pouvez lire, et je cite, « l’importance de créer la confiance qui permettra à l’économie numérique de se développer sur le marché intérieur ». Cela dit, je crois que le besoin de confiance dans la protection des données personnelles concerne à la fois l’individu, mais aussi, et surtout les organisations.
Quels types de défis les entreprises doivent-elles relever selon vous? Par exemple, il y a des pénalités importantes si une entreprise ne s’y conforme pas.
Antoine : Tout d’abord, j’aimerais commencer par une citation : quand vous devez manger un éléphant, vous mangez l’éléphant une bouchée à la fois. (Je n’ai jamais mangé d’éléphants, mais…). Cela dit, le premier défi pour toute entreprise est de comprendre le champ d’application du RGPD. C’est la question principale : êtes-vous assujetti ou non au RGPD, surtout pour les entreprises canadiennes? Si vous êtes assujetti au RGPD, le deuxième défi consistera à intégrer et à revoir votre stratégie de protection des données, en ce qui concerne le stockage des données, les personnes visées par la demande, la notification des données, etc.
Enfin, et je crois que c’est le défi le plus important, votre équipe doit être pleinement impliquée et engagée à travailler ensemble pour améliorer les pratiques de protection des données. Vraiment, c’est d’avoir des gens intéressés et pleinement engagés envers le RGPD.
Y a-t-il eu un événement spécifique qui a déclenché l’application du GDPR pour les entreprises hors de l’UE?
Antoine : Je suppose que le régulateur européen avait les entreprises américaines à l’esprit. Nous sommes tous conscients des difficultés que pose le bouclier de protection de la vie privée. La question était donc de savoir si nous pouvions transférer en toute sécurité les données personnelles des Européens aux États-Unis. Je ne pense pas qu’il se soit passé quelque chose de précis qui pourrait expliquer une telle modification du règlement, mais lorsqu’ils ont rédigé le RGPD, ils ont tenu compte du fait que dans d’autres parties du monde, la vie privée n’est pas aussi préoccupante que dans l’UE.
Pensez-vous que certaines entreprises, en particulier les entreprises établies au Canada ou aux États-Unis qui ont moins de clients dans l’UE, préféreraient partir plutôt que de se conformer?
Antoine : C’est difficile à dire, parce qu’au bout du compte, c’est vraiment la gestion du risque. Cela dit, et c’est ce que je dis à chaque fois à mes clients : le RGPD est beaucoup plus qu’une simple conformité légale, c’est une occasion commerciale et un impératif commercial. La raison en est que (…) si vous ne parvenez pas à protéger correctement vos données, vous risquez de nuire à votre réputation, à votre relation client et, au bout du compte, à votre rentabilité. Vous devriez tirer le meilleur parti du RGPD si vous êtes une entreprise (…).
Je crois que la vie privée est un facteur mineur si vous voulez faire affaire avec quelqu’un. Vous ne direz pas : « Je ne veux pas traiter avec vous parce que c’est trop difficile pour moi de me conformer à vos normes ». Je pense que les entreprises vont vraiment prendre cela comme un avantage (….).
Quand on regarde, par exemple, le Canada, les États-Unis, mais aussi l’Asie, personne ne conteste le RGPD. Tout le monde essaie simplement de s’y conformer. Il y a beaucoup de discussions à ce sujet, mais au bout du compte, personne ne dira qu’il ne veut pas s’y conformer parce qu’il ne veut pas faire affaire avec l’UE, surtout parce que l’UE représente un grand nombre de consommateurs.
Les lois sur la protection des données étant différentes aux États-Unis et au Canada, certaines entreprises segmentent leurs bases de données et traitent les personnes concernées différemment dans chaque pays plutôt que d’avoir les mêmes politiques à tous les niveaux. Pensez-vous que les entreprises continueront à appliquer des normes différentes?
Antoine : Nous constatons que de nombreuses entreprises ont des normes différentes en ce qui concerne les juridictions. Je pense qu’il en sera ainsi pendant quelques années et la raison en est que si vous êtes une entreprise américaine et que vous traitez des données provenant de citoyens de l’UE aux États-Unis, il y a beaucoup d’exigences et beaucoup de procédures afin d’être en conformité avec ce qui se passe dans l’UE. Je crois qu’à l’avenir, il en sera toujours ainsi.
Pensez-vous que la plupart des entreprises ont déjà commencé à se conformer au RGPD?
Antoine : D’après ce que j’ai lu, et selon certaines statistiques, beaucoup d’entreprises sont en retard et elles se rendent compte que c’est presque le moment…très bientôt en mai. Elles ont peur en ce moment même. Ce que je leur dirais : oui, cela ne prendra que quelques semaines, mais il est possible de s’y conformer et ce dont vous avez besoin, c’est d’un processus bien conçu. Vous ne le ferez pas en une semaine seulement, mais si vous établissez un plan, vous pouvez le faire en quelques mois. C’est un long processus, mais à la fin, cela pourrait vraiment créer plus d’occasions d’affaires.
À qui les entreprises peuvent-elles s’adresser pour en savoir plus sur le RGPD?
La première chose que je ferais serait de consulter la documentation préparée par la Commission européenne et votre autorité de surveillance locale (le cas échéant). L’IOC au Royaume-Uni et la CNIL en France ont produit une documentation très intéressante. La deuxième étape consiste à consulter un avocat à ce sujet : êtes-vous assujetti ou non au RGPD? C’est la première étape et le premier défi pour toute entreprise basée en dehors de l’UE.
Surtout au Canada et en Amérique du Nord, [le RGPD] vous préoccupe beaucoup, même si cela se passe dans l’UE. C’est le commentaire que j’entends souvent de la part d’entreprises canadiennes qui croient ne pas être assujetties au RGPD, mais ce que je leur dis, c’est que la portée du RGPD est très nouvelle et très large. Je leur dirais que, même si c’est dans l’UE, cela vous préoccupe.
Pour plus d’informations sur le RGPD :
Voyez ce que Guilmain a à dire en le suivant sur Twitter AntoineGuilmain ou sur LinkedIn à l’adresse suivante https://www.linkedin.com/in/aguilmain/.
Pour en savoir plus sur le RGPD, consultez la Page de conformité du RGPD de TrackTik.