Règlement général sur la protection des données (RGPD) de l'Union européenne

• Le Règlement général sur la protection des données (RGPD) est un règlement qui harmonise les lois nationales de protection des données au sein de l'Union européenne (UE) et qui renforce la protection de tous les résidents de l'UE en ce qui a trait à la confidentialité de leurs données personnelles.
• Cette harmonisation crée de nouveaux droits pour les particuliers de même qu'un ensemble de règles plus strictes et plus claires pour les entreprises.
• Le RGPD s'applique à toutes les entreprises qui traitent les données personnelles de résidents de l'UE, y compris les entreprises établies à l'extérieur de l'UE si elles offrent des biens ou des services à des résidents de l'UE, ou suivent leur comportement.
• Le RGPD est entré en vigueur le 25 mai 2018.

Quoi de neuf avec le RGPD?

• Mise à jour de la définition de données personnelles : Les données de localisation et les identifiants en ligne sont désormais expressément inclus dans la définition de données personnelles.
• Obligations détaillées en matière de tenue des dossiers : Les dossiers sont utilisés pour démontrer la conformité à la règlementation.
• Définition plus stricte du consentement : Le consentement est une manifestation de volonté libre, spécifique, éclairée et univoque, exprimée par une déclaration ou un acte positif clair. Les particuliers peuvent retirer leur consentement en tout temps.
• Nouveaux droits pour les individus : Les individus ont le droit d'accéder à leurs données personnelles, de les transférer, de les corriger ou de les restreindre, ou de demander à ce qu'elles soient détruites.
• Nouvelle obligation de nommer un délégué à la protection des données : Les entreprises qui traitent les données personnelles à grande échelle doivent nommer un délégué à la protection des données.
• Nouvelle obligation de notification en cas de violation de données personnelles : Les autorités de contrôle compétentes au sein de l'UE doivent généralement être informées dans les 72 heures suivant une violation de données personnelles.
• Trousse de mécanismes diversifiés : La trousse de mécanismes diversifiés est offerte en vue d'un transfert licite de données à l'extérieur de l'UE (en anglais seulement); le transfert est assujetti à des conditions et à des garanties spécifiques.
• Pénalités en cas de non-conformité : Les entreprises seraient exposées à des amendes pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial ou à 20 millions d'euros (le plus élevé des deux montants).

Le niveau des obligations varie en fonction de la taille et des activités de l'entreprise concernée, de la nature délicate des données personnelles et de l'usage qui en est fait. Certaines exemptions pourraient aussi s'appliquer.

Que peuvent faire les organisations?

• Obtenir des renseignements supplémentaires sur le RGPD.
• Évaluer les activités de votre entreprise et l'usage que vous faites des données personnelles, afin de déterminer si le RGPD s'applique à votre situation.
• Discuter avec votre responsable de la protection des données ou solliciter un avis juridique relativement à l'application du RGPD et ce que vous devez faire.
• Si le RGPD s'applique à votre situation, prendre les mesures nécessaires pour être en conformité avec le RGPD.

Qu'en est-il de la décision d'adéquation de l'UE relative au Canada?

• En 2001, l'UE a reconnu que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada offrait un niveau de protection adéquat.
• Le statut « adéquat » du Canada fait en sorte que les données traitées en conformité avec le RGPD puissent être subséquemment transférées de l'UE au Canada, sans que des garanties supplémentaires relatives à la protection des données (par exemple des règles contractuelles types) ou une autorisation à transférer les données ne soient nécessaires.
• Le RGPD prévoit la continuité des décisions d'adéquation existantes de l'UE, y compris celle concernant le Canada.

Ressources utiles

RGPD

• Site Web de la Commission européenne sur la réforme des règles de l'UE en matière de protection des données (en anglais seulement)
• Lignes directrices sur le RGPD du Groupe de travail sur l'article 29 (en anglais seulement)
• Coordonnées des 28 agences nationales de protection des données (en anglais seulement)
• Du Canada vers l'Europe : Conversations commerciales : Le Règlement sur la protection de données de l'UE : Ce qu'il faut savoir!

Autres documents produits par le Service des délégués commerciaux du Canada

• Accord économique et commercial global (AECG) entre le Canada et l'UE
• Exporter vers l'UE - Un guide pour les entreprises canadiennes