RGPD et entreprises canadiennes:
préparez-vous

L’Europe s’apprête à adopter en mai prochain ce qui s’annonce comme la réglementation relative à la protection de la vie privée la plus stricte au monde. Celle-ci aura un impact important sur les sociétés canadiennes.

Par : Dan Finerty, spécialiste en préventes, gestion des données, SAS Canada et Mike Luke, directeur du groupe Solution, SAS Canada.

Alors que les affaires sont de plus en plus marquées par des préoccupations de portée internationale, les entreprises canadiennes doivent tenir compte d’enjeux importants : les comportements à adopter lors des interactions sociales, les pratiques d’affaires à l’étranger et, ce qui est plus important, l’ensemble des lois et des règlements qui régissent la conduite du commerce. Contrevenir à ceux-ci peut entraîner des coûts importants, tant sur le plan monétaire que sur celui de la réputation.

L’Europe est depuis longtemps à l’avant-garde en ce qui a trait à la protection de la vie privée de ses citoyens. En 1978, la France a promulgué la Loi « informatique et libertés », prévoyant une amende d’environ 5 000 $ CA et une peine de prison pouvant aller jusqu’à 6 mois pour toute personne, entreprise ou agence gouvernementale qui reçoit ou traite des renseignements personnels sans autorisation. L’Allemagne a pour sa part consacré dans sa constitution le droit d’autodétermination en matière d’information, c’est-à-dire le droit pour toute personne de contrôler l’utilisation de ses données personnelles. La Convention 108, promulguée par les États membres de l’Union européenne (UE) en 1981, a été la première politique internationale déterminant les principes de la protection de la vie privée et des données. [1]

L’Europe est sur le point d’adopter un règlement relatif à la protection de la vie privée et des données personnelles recueillies et traitées par les entreprises, les agences et les particuliers encore plus strict. Le Règlement général sur la protection des données, ou RGPD, entrera en vigueur le 25 mai 2018. Ce règlement d’envergure sur la protection des données encadrera non seulement les pays membres de l’UE, mais aussi les entreprises et les gouvernements de partout dans le monde qui effectuent des transactions sur le marché européen.

Le RGPD changera le paysage de la protection de la vie privée pour toute organisation canadienne dont les activités sont liées au traitement des renseignements personnels des citoyens de l’Union européenne

Dean Dolan,
  Baker & McKenzie LLP

APERÇU DU RGPD

« Le RGPD changera le paysage de la protection de la vie privée pour toute organisation canadienne dont les activités sont liées au traitement des renseignements personnels des citoyens de l’Union européenne », affirme Dean Dolan, un conseiller en pratique de commerce international du cabinet d’avocats Baker & McKenzie s.r.l, basé à Toronto. « Les organisations canadiennes devront faire le nécessaire pour se conformer aux moindres exigences en matière de respect de la vie privée, dans la mesure où toute entreprise canadienne qui traite les données de citoyens de l’UE, même en très petite quantité, est vulnérable. »

Non seulement le règlement est-il plus rigoureux que jamais auparavant, les conséquences d’une violation sont beaucoup plus sévères que la simple réprimande instituée en 1978. Les pénalités pour non-conformité peuvent atteindre 20 millions d’euros – 30 millions de $ CA au moment de la publication – ou quatre pour cent des revenus annuels d’une entreprise.

Le RGPD se fonde sur le principe directeur de la propriété personnelle des renseignements confidentiels. On confère au citoyen les droits suivants :

  • Accéder à ses données personnelles
  • Savoir comment elles sont utilisées
  • Demander à ce que des erreurs soient corrigées
  • Limiter le traitement de ses données
  • Obtenir et réutiliser ses données personnelles
  • Refuser certaines utilisations
  • Demander le retrait des données (le « droit à l’oubli »)
  • Demander une explication quant aux décisions automatisées

Pour leur part, les entreprises doivent être en mesure de démontrer que les données sont sécurisées; qu’un système de gouvernance et des mesures de contrôle adéquats sont en place; que les données sont utilisées de manière transparente, appropriée et équitable avec le consentement de leur propriétaire; que des mesures ont été mises en œuvre pour minimiser et corriger les erreurs; et qu’elles sont préparées à répondre à toute fuite potentielle.

Le premier obstacle dans la course à la conformité au RGPD : déterminer en quoi consistent les renseignements personnels.

LE DÉFI : PAR OÙ COMMENCER ?

Très peu de systèmes d’entreprise (voire aucun) sont développés et mis en œuvre en tant qu’entité individuelle. Les éléments distincts sont créés selon les besoins. Alors que de nouveaux produits et de nouvelles offres apparaissent en ligne et que de nouveaux processus d’affaires sont dictés, les anciens systèmes nécessitent des mises à jour et des corrections. Ces éléments distincts sont habituellement créés par différents développeurs et proposent différentes taxonomies. Ainsi, même les renseignements personnels les plus élémentaires posent un défi pour des systèmes disparates. Le Marc Smith dans le système A est-il la même personne que le M. Smith dans le système B, ou les Marcus Smith dans le système C ?

Cette situation peut être considérée comme une hypothèse de référence. Par le passé, les dossiers clients se trouvaient en grande partie dans des bases de données utilisées par une variété d’applications d’entreprise. Avec un nouvel éventail de points de contact en pleine expansion – le courriel, les médias sociaux, la communication en champ proche (« near-field communications » ou NFC), les applications qui repèrent des endroits au moyen du système de localisation GPS ou des points de vente –, les renseignements nominatifs peuvent se retrouver dans des dépôts de données jusqu’ici insoupçonnés. Cette information est aussi traitée par des applications dans le nuage ou des environnements de données massives qui sont relativement nouveaux pour l’entreprise.

Par conséquent, il s’agit sûrement d’un enjeu de gestion des données. Ou peut-être pas. En fait, on doit examiner plusieurs perspectives.

  • C’est un enjeu relatif à la gestion des données. On ne peut commencer notre examen du RGPD sans dresser un inventaire exhaustif des données qui sont recueillies, emmagasinées et utilisées par ces systèmes disparates. Pouvons-nous classifier ces données comme étant personnellement identifiables et privées ? Pouvons-nous suivre les données jusqu’aux systèmes en aval qui les extraient et les utilisent, et déterminer le niveau de sécurité de ces systèmes ? Ces systèmes permettent-ils le transfert non protégé de ces renseignements par le téléchargement en ligne vers des systèmes personnels, l’entreposage sur CD ou autre média, ou l’exportation sur des clés USB ? Tout commence avec des données épurées, étiquetées, définies et conformes à une taxonomie.
  • C’est un enjeu juridique. En quoi consistent les données privées et leur utilisation justifiée et permise ? Le service juridique doit prendre les devants à cet égard, en interprétant la réglementation et en offrant son avis sur le type de renseignements qui peuvent être considérés personnellement identifiables et privés; sur les utilisations – de données individuelles ou cumulées – légitimes; et sur ce qui constitue l’autorisation du consommateur. Le service juridique jouera aussi le rôle le plus significatif dans la conception de mécanismes de gouvernance et de conformité, en déterminant comment ceux-ci peuvent s’articuler dans le schéma des données.
  • C’est un enjeu relatif au processus d’affaires. L’expertise dans ce secteur d’activité consiste à savoir comment les données sont traitées, par qui, et à quelles fins. Il s’agit aussi d’un service expert dans la logistique de l’acquisition et de la gestion des autorisations, de même que de la renonciation du consommateur. Bien que le RGPD s’applique à tous les secteurs d’activité, il constitue une proposition plus onéreuse pour ceux des ventes et du marketing qui traitent sur une base individuelle les renseignements du consommateur, contrairement à la logistique qui intervient après la réception des autorisations, ou encore les finances qui utilisent généralement l’information sous forme cumulée.

ÉTAPES VERS LA CONFORMITÉ AU RGPD.

Concrètement, on a affaire à un enjeu relatif au leadership. La préparation à l’entrée en vigueur du RGPD comporte trop de facettes pour que la direction d’un seul service puisse s’en acquitter. La première étape sur la route de la conformité au RGPD est donc de mettre sur pied une pratique dédiée à la tâche, en d’autres mots, une équipe de gestion de « superprojet ». Du personnel de direction et de soutien provenant des TI, du traitement des données, du service juridique, des secteurs d’activité concernés, de même que des cadres supérieurs devraient être désignés pour s’assurer que tous les points de vue sont représentés.

L’objectif est non seulement d’échafauder un système qui relèvera les défis de la conformité au RGPD, mais aussi de se doter de la flexibilité nécessaire pour s’adapter au contexte en constante évolution de la protection de la vie privée. La réglementation en matière de respect de la vie privée ne risque pas de s’assouplir à l’avenir. C’est ce qu’on appelle la « prise en compte du respect de la vie privée dès la conception (PbD) », un cadre élaboré par Ann Cavoukian, commissaire à la protection des renseignements personnels de l'Ontario pendant trois mandats, maintenant chef de la direction du Big Data and Privacy Institute de l’Université Ryerson.

Ce concept universel lancé au Canada par Ann Cavoukian repose sur la prémisse que le respect de la vie privée devrait être intégré à la conception et aux opérations des systèmes de TI, à l’infrastructure réseau et aux pratiques d’affaires. Il s’appuie sur 7 principes fondateurs.

La prise en compte du respect de la vie privée dès la conception a attiré l’attention du monde entier : les autorités de réglementation qui ont assisté à Conférence internationale des commissaires à la protection des données et de la vie privée de 2010 ont adopté à l’unanimité une résolution reconnaissant le concept comme « une composante essentielle des fondements de la protection de la vie privée ». Depuis ce temps, il a été traduit dans 38 langues, lui conférant une véritable présence à l’échelle du globe. Il est à l’origine du RGPD sur le point d’être adopté.

« Ce cadre est conçu comme une mesure proactive pour prévenir les cas de violation de la vie privée », affirme Mme Cavoukian. Souvent, la sécurité et le respect de la vie privée sont considérés comme des compétiteurs dans un jeu où il n’y a ni gagnant, ni perdant. Il s’agit là d’une « fausse dichotomie », selon Mme Cavoukian. « Vous pouvez combiner respect de la vie privée et sécurité; respect de la vie privée et analyse des données – la formation d’un groupe ne signifie pas l’exclusion de tous les autres et n’entraîne pas de compromis non nécessaires. »

Une architecture dotée de ce degré de flexibilité ne constitue pas seulement une réponse aux défis posés par une réglementation en matière de respect de la vie privée de plus en plus restrictive, elle peut aussi servir de fondation à la création d’un avantage compétitif. Il s’agit simplement d’un bon processus d’affaires.

On retrouve aussi parmi les éléments essentiels un régime de gouvernance et de conformité qui peut établir comment les données sont recueillies et utilisées, effectuer un suivi, de la collecte des données jusqu’à leur utilisation. Son efficacité devra par ailleurs être démontrée et il devra faire l’objet d’une certification rigoureuse. À cette fin, Deloitte a lancé un programme de certification de prise en compte du respect de la vie privée dès la conception en partenariat exclusif avec l’Université Ryerson. Deloitte a mis en œuvre les 7 principes fondateurs en développant 30 critères mesurables et 107 contrôles en guise d’exemples, qui ont pour but d’aider les organisations à évaluer leur situation par rapport à ces principes, à introduire et effectuer le suivi de mesures de performance et à mieux gérer le risque.

« Il s’agit d’une approche au respect de la vie privée et à la protection des données holistique et fondée sur le risque. Elle tient compte des personnes, des processus, de la technologie et des contrôles de gouvernance par rapport au cycle de vie complet des données, du début à la fin  », affirme Sylvia Kingmill, associée chez Deloitte Canada qui a lancé le programme en collaboration avec Mme Cavoukian. « Elle souligne aussi l’importance de la protection de la sécurité pour prévenir les accès non autorisés, tout en évaluant la performance de l’organisation quant au respect de l’utilisateur final par le biais du consentement, du choix, de la transparence, des techniques de minimisation des données, et autres choix de conception qui favorisent la protection de la vie privée  »

OÙ EN EST LE CANADA ?

Si on le compare à plusieurs autres juridictions, le Canada a une longueur d’avance dans la course à la conformité au RGPD. Le Canada est un chef de file reconnu en matière de réglementation relative à la protection de la vie privée. Les règles concernant les institutions bancaires comportent des exigences élevées à l’égard de la gouvernance des données; la réglementation anti-pourriel a quant à elle appris aux entreprises ce qui constitue une autorisation valide à l’utilisation des données. Nous nous sommes dotés d’une réglementation approfondie concernant la transférabilité des données (les données recueillies au Canada demeurent au Canada).

Il reste cependant du chemin à parcourir pour satisfaire les normes européennes, et ce n’est pas une question de choix pour les entreprises canadiennes qui ont des filiales en Europe, ou qui entretiennent de nombreuses relations d’affaires avec des sociétés ou des particuliers européens.

Que vous en soyez aux premières étapes du développement ou en période de restructuration de vos systèmes de protection de la vie privée existants, vous devrez garder ce qui suit en tête dans votre préparation au RGPD : 

  1. Déterminer si vous avez ou non un chef de la protection des renseignements personnels au niveau de la haute direction.
  2. Comment traiter les questions de protection de la vie privée comme un enjeu de gestion du risque, et non comme un enjeu de conformité.
  3. Partager la responsabilité de la protection des renseignements personnels dans l’ensemble de l’organisation et éviter les comportements cloisonnés qui surviennent entre les fonctions de sécurité et de protection de la vie privée. Les architectes, ingénieurs, développeurs d’applications, responsables de sécurité et de protection des renseignements personnels devraient prendre en collaboration les décisions relatives à la conception au tout début du processus.
  4. Quel type de données vous recueillez, où et comment vous les entreposez.
  5. Se tenir responsable des renseignements personnels que comportent vos données, peu importe la situation. La responsabilité ne peut être confiée à un tiers. C’est pourquoi vous devez vous assurer que vos fournisseurs indépendants sont aussi scrupuleux que vous en matière de respect de la vie privée.

Pour vous conformer, vous devrez savoir comme le RGPD définit les données personnelles, où elles se trouvent dans votre entreprise, comment elles sont utilisées, qui y a accès, et encore davantage. Pour en savoir davantage sur les logiciels et les services de gestion des données de SAS à toutes les étapes du cycle de vie de la protection de données, consultez ce document d’information.

[1] « La France entretient une longue tradition de protection des données », Deutsche Welle (DW), le 26 janvier 2011.

Dan Finerty, spécialiste en préventes, gestion des données, SAS Canada, est un vétéran de 30 ans dans le domaine de la gestion de l’information. Il a actuellement pour responsabilité de fournir des conseils à des clients pour maximiser leur rendement de capital investi dans l’Analytique avancée au moyen du déploiement stratégique de leurs capacités en gestion de données.

Mike Luke est un membre du groupe des Alliances stratégiques à SAS Canada. Au moyen de partenariats clés de l’industrie, il démontre comment l’utilisation des données et des méthodes d’analyse avancées peuvent aider les organisations à atteindre leur plein potentiel.