Introduction au RGPD pour les entreprises canadiennes

Le Règlement général sur la protection des données adopté par l’Union européenne (UE) s’applique à toutes les entités – de partout dans le monde – qui traitent des données personnelles de résidents de l’UE. Qu’en est-il pour les entreprises et les CPA du Canada?

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Loi la plus stricte à ce jour en matière de protection des données, le RGPD a un champ d’application beaucoup plus vaste que la précédente directive – bien moins contraignante – qu’elle remplace. Les entreprises qui ne se conforment pas au RGPD peuvent se voir imposer une amende allant jusqu’à 20 M€ ou 4 % de leur chiffre d’affaires annuel mondial (selon le montant le plus élevé). Par ailleurs, les particuliers et les groupes d’intérêt peuvent lancer une action collective (ou recours collectif) pour recevoir des dommages-intérêts en réparation du tort subi.

Rappelons le contexte. Dans un monde où les données jouent un rôle de plus en plus important, le RGPD a été conçu pour :

  • harmoniser les lois relatives à la protection des données pour toutes les entreprises exerçant des activités en Europe, quel que soit le lieu où elles sont établies;
  • assurer une meilleure protection des données des citoyens de l’UE et donner à ces derniers un contrôle accru de leurs données personnelles;
  • changer l’attitude des entreprises à l’égard de la protection des données recueillies de sorte qu’elles assurent la transparence de celles-ci et prennent les mesures nécessaires pour les protéger.

Comment savoir si votre organisation est assujettie au RGPD

Quatre types d’organisations sont assujetties au RGPD. Comme l’indique cet article, toute organisation canadienne répondant à l’un des critères suivants doit se conformer au RGPD :

  • elle a des bureaux ou des employés au sein de l’UE;
  • elle offre des biens ou des services en ligne à des résidents de l’UE (nul besoin d’avoir pignon sur rue : un site Web ou une application mobile suffisent);
  • elle recueille des adresses IP et d’autres données personnelles auprès de résidents de l’UE en vue de surveiller leurs activités en ligne;
  • elle traite les renseignements personnels de personnes vivant au sein de l’UE pour le compte de clients d’affaires.

Une fois que vous avez déterminé si votre organisation est assujettie au RGPD, vous devez évaluer dans quelle mesure le règlement s’applique à votre organisation. En cas de non-conformité, le montant de l’amende dépend de la gravité de l’infraction.

Définition des données à caractère personnel

Tout renseignement relatif à une personne vivante, identifiable et vivant au sein de l’UE est régi par le RGPD. Il peut s’agir d’un nom, d’une adresse personnelle, d’un numéro de carte d’identité, d’une adresse IP ou de données sur la santé. Les dispositions du RGPD s’appliquent dès que des données à caractère personnel sont recueillies, utilisées ou stockées.

Les grands changements qu’entraîne le RGPD pour les entreprises canadiennes

Pour en savoir plus sur la protection des renseignements personnels, sur la cybersécurité et sur ce que les CPA peuvent faire pour assurer la sécurité des données, profitez de ces activités de perfectionnement professionnel :

Sécurité et confidentialité en ligne : L’essentiel à savoir pour les CPA (en anglais)
Formation en salle de classe virtuelle | le 10 octobre 2018 | de 12 h à 14 h HE | 3 heures de PPC

Introduction à la cybersécurité pour les CPA (en anglais)
Formation en ligne | 5 heures de PPC

Série de balados : TI et innovation (en anglais)
Formation en ligne | 2 heures de PPC