« L’entrée en vigueur du CETA ou l’impact du GDPR au Canada »
L’accord économique et commercial global entre l’Union Européenne et le Canada dit « CETA » a été ratifié par le Parlement Européen le 15 février 2017. Il est entré en vigueur de manière provisoire le 21 septembre dernier, dans l’attente de son approbation définitive par les parlements nationaux et régionaux de l’Union Européenne.
Ce traité de libre-échange prévoit notamment une baisse des droits de douane, une hausse des quotas d’importation de produits canadiens dans l’Union Européenne, un accès facilité des entreprises européennes aux marchés publics canadiens ou encore, une reconnaissance mutuelle des qualifications professionnelles.
Dans ce contexte de partenariat entre l’Union Européenne et le Canada, il convient de s’intéresser au Règlement européen sur la protection des données personnelles dit « General data protection régulation » (GDPR)[1], adopté le 27 avril 2016 et entrant en vigueur le 25 mai 2018.
Compte-tenu de son champ d’application étendu, ce Règlement européen pourrait effectivement concerner les entreprises canadiennes, lesquelles devront anticiper son entrée en vigueur et se mettre en conformité avant le 25 mai 2018.
Quelles sont les entreprises concernées par le Règlement européen ?
Les entreprises concernées sont celles qui traitent des données à caractère personnel[2], en qualité de responsable de traitement[3] ou de sous-traitant[4], dès lors que ce traitement entre dans le champ d’application matériel et territorial du GDPR.
Sont exclus du champ d’application matériel du GDPR, les traitements effectués :
- Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
- Par les Etats membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union Européenne ;
- Par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
- Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales[5].
Pourquoi les entreprises canadiennes sont-elles concernées par le Règlement européen ?
Si le GDPR a pour objet d’unifier le cadre juridique relatif à la protection des données personnelles au sein de l’Union Européenne, force est de constater que son champ d’application territorial n’est pas limité à l’Europe et est susceptible de s’étendre au Canada.
En effet, le GDPR s’applique aux traitements de données à caractère personnel dont le responsable du traitement ou le sous-traitant :
- Est établi sur le territoire de l’Union, que ce traitement ait lieu ou non dans l’Union ;
- N’est pas établi sur le territoire de l’Union, dès lors que ce traitement concerne des personnes établies dans l’Union et a pour objet de leur fournir des biens ou des services ou de suivre leur comportement ;
- N’est pas établi sur le territoire de l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public[6].
Ainsi, le GDPR s’applique aux traitements de données à caractère personnel mis en œuvre sur le territoire canadien lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne.
En outre, le GDPR s’applique aux traitements effectués par un responsable ou un sous-traitant canadien lorsque leur objet est de fournir des biens ou des services à des résidents de l’Union Européenne ou de suivre leur comportement.
Quelles formalités pour les entreprises canadiennes qui mettent en œuvre un traitement visant à fournir des biens ou des services à des résidents européens ou à suivre leur comportement ?
Dans une telle hypothèse, le GDPR prévoit la désignation d’un « Représentant sur le territoire de l’Union Européenne »[7]. Cette désignation est obligatoire à moins que :
- le traitement ne soit qu’occasionnel, n’implique pas un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales ou à des infractions et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques compte tenu de la nature, du contexte, de la porté et des finalités du traitement.
- le responsable du traitement soit une autorité publique ou un organisme public.
Le « représentant » est défini comme une personne physique ou morale établie dans l’Union Européenne désignée par écrit par le responsable du traitement ou le sous-traitant et qui les représente en ce qui concerne leurs obligations respectives en vertu du GDPR[8].
Selon la CNIL, autorité française de contrôle en matière de protection des données personnelles, le représentant peut être une filiale, un représentant juridique, un avocat ou toute autre personne.
Le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi[9].
Il est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du GDPR. Néanmoins, sa désignation est sans incidence sur la responsabilité du responsable du traitement et du sous-traitant.
Quelles obligations pour les entreprises concernées par le Règlement européen (responsables de traitement ou sous-traitants) ?
Les responsables de traitement et les sous-traitants devront désormais respecter le principe de « privacy by design » qui implique de limiter la quantité de données traitées dès le départ et de protéger les données dès la conception et par défaut.
En outre, en application du principe « d’accountability » (responsabilisation des entreprises), les responsables de traitement devront être à même de démontrer leur conformité au Règlement à tout moment. Pour cela, ils devront notamment constituer et regrouper la documentation nécessaire : registre des traitements, analyses d’impact, encadrement des transferts hors de l’Union Européenne, modèles de recueil du consentement des personnes concernées, etc.
En contrepartie de cette responsabilisation des entreprise, il est à noter que le GDPR supprime les formalités déclaratives auprès des autorités de protection des données personnelles et met à disposition des responsables de traitement des outils de conformité : mécanismes de certification, adhésion à des codes de conduite, désignation d’un délégué à la protection des données (DPO)[10] etc.
Par ailleurs, le GDPR soumet les responsables de traitement et les sous-traitants à de nouvelles obligations. Le responsable du traitement devra notamment tenir un registre des traitements pour les entreprises de plus de 250 salariés[11], répondre au droit d’accès des personnes concernées dans un délai d’un mois[12], notifier et communiquer les violations de données personnelles[13] ou réaliser des analyses d’impact en cas de risque élevé pour les droits et libertés des personnes physiques[14].
Le sous-traitant devra, quant à lui, obtenir l’autorisation du responsable de traitement pour faire de la sous-traitance, aider le responsable à s’acquitter de ses propres obligations, notifier au responsable toute violation de données personnelles ou encore, mettre à disposition du responsable les informations attestant du respect de ses obligations et permettant la réalisation d’audits.
De plus, les responsables de traitement et les sous-traitants devront respecter les droits des personnes concernées. Ces droits ont été renforcés par le GDPR et comprennent notamment : l’exigence d’un consentement clair et explicite[15], le droit à l’oubli[16], le droit à la portabilité des données[17], le droit de s’opposer au traitement et au profilage[18], le droit d’être informé en cas de piratage de ses données[19] etc.
Enfin, il convient de souligner que les amendes administratives pourront désormais atteindre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 10 à 20 millions d’euros pour les autres organismes.
Quid des transferts de données depuis l’Union Européenne vers le Canada ?
Avec l’entrée en vigueur du CETA, il est probable que des transferts de données à caractère personnel aient lieu entre l’Union Européenne et le Canada.
Les transferts de données à caractère personnel depuis l’Union Européenne vers un pays tiers, tel que le Canada, sont strictement encadrés par le GDPR.
Le GDPR prévoit que de tels transferts ne peuvent avoir lieu que si la Commission Européenne a reconnu, par voie de décision, que ce pays tiers assurait un niveau de protection adéquat des données personnelle ou, à défaut, si des garanties appropriées sont prises par le responsable du traitement ou le sous-traitant[20].
S’agissant du Canada, la Commission européenne a reconnu que la loi canadienne sur « la protection des renseignements personnels et les documents électroniques » assurait un niveau de protection adéquat des données personnelles[21]. Par conséquent, les transferts de données personnelles depuis un Etat membre de l’Union Européenne vers un destinataire canadien assujetti à cette loi ne nécessitent pas de garantie supplémentaire.
[1] Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Traitement de données à caractère personnel : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction »
[3] Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »
[4] Sous-traitant : « la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »
[5] Article 2 du Règlement (UE) n°2016/679
[6] Article 3 du Règlement (UE) n°2016/679
[7] Considérant 80 et article 27 du Règlement (UE) n°2016/679
[8] Article 4-17° du Règlement (UE) n°2016/679
[9] Article 27 du Règlement (UE) n°2016/679
[10] Article 37 du Règlement (UE) n°2016/679
[11] Article 30 du Règlement (UE) n°2016/679
[12] Article 12-3 du Règlement (UE) n°2016/679
[13] Articles 33 et 34 du Règlement (UE) n°2016/679
[14] Article 35 du Règlement (UE) n°2016/679
[15] Consentement : « acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement (considérant 32) »
[16] Article 17 du Règlement (UE) n°2016/679
[17] Article 20 du Règlement (UE) n°2016/679
[18] Article 21 du Règlement (UE) n°2016/679
[19] Article 34 du Règlement (UE) n°2016/679
[20] Article 44 du Règlement (UE) n°2016/679
[21] Décision d’adéquation 2002/2/EC du 20 décembre 2001 modifiée par la décision d’exécution (UE) 2016/2295