Sélection de la langue

Gouvernement du Canada

Recherche

Transcription – Épisode 1 : Le Règlement sur la protection de données de l’UE : Ce qu’il faut savoir!

  • Qu’est-ce que le Règlement Général pour la protection des Données (RGPD) et êtes-vous concernés par la RGPD? (2:48 - 9:01)
  • Les transferts de données à l’international (9:02 - 10:28)
  • Les six principes de la RGPD (10:29 - 15:29)
  • L’obligation de nommer un représentant (15:30 - 20:50)
  • L’obligation de nommer un délégué à la protection des données (20:51 - 24:00)
  • Une liste de mise en conformité (24:01 – 25:58)
  • Pourquoi devriez-vous vous mettre en conformité avec la RGPD? (25:59 – 27:54) 

Bienvenue dans la série de podcasts qui a pour but d’aider les entreprises canadiennes à exporter et à croitre leurs activités au sein de l’Union Européenne. Tous les mois, nous invitons des experts à partager des recommandations sur les secteurs et marchés clés ainsi que conseils pratiques pour aider les entreprises canadiennes à faire des affaires dans l’Union Européenne.  

Mélanie Gagnon Bonjour et bienvenue à ce podcast. L'objectif d'aujourd'hui est de comprendre quels sont les impacts du Règlement Général sur la Protection des Données pour les sociétés canadiennes. Le règlement est connu sous l'acronyme RGPD ou encore GDPR en anglais. Ce règlement, bien qu'il soit européen, s'applique également aux sociétés hors Union européenne, dont les sociétés canadiennes. Nous répondrons à trois questions: Qu'est-ce que la RGPD? Êtes-vous concerné par la RGPD et si oui, quelles sont vos obligations? Et finalement, par où commencer pour se mettre en conformité? Tout d'abord, je me présente Mélanie Gagnon, je viens de la ville de Québec et je suis au Luxembourg depuis maintenant cinq ans. Je suis la présidente et fondatrice de MGSI qui est une société de services conseils en protection des données qui est établie au Québec et au Luxembourg. Évidemment, en tant que Canadienne, il me tient à cœur d'accompagner les sociétés canadiennes à bien comprendre le Règlement et à se mettre en conformité. Je vais maintenant céder la parole à Jane qui pourra se présenter et également débuter avec la première question: qu'est-ce que le Règlement? 

Jane Murphy Merci beaucoup Mélanie. Donc bonjour tout le monde. Je m'appelle Jane Murphy et je suis fondatrice et présidente de la société European Data Protection Office, connue sous le nom de EDPO qui agit exclusivement en tant que représentant européen dans le cas du GDPR ou RGPD pour les entreprises situées hors Union européenne. Comme Mélanie je suis née à Québec et j'ai grandi en partie à Québec et à Montréal et je suis arrivée en Belgique pour étudier. J'ai fait un LLM en droit international et européen, donc à Bruxelles, et ça fait 26 ans que j'y suis et que j'y habite. Je suis avocate spécialisée en RGPD et en droit des affaires et je suis vraiment vraiment très ravie d'être avec vous aujourd'hui pour vous parler des impacts du RGPD pour les entreprises canadiennes. Commençons tout d'abord par le début. Qu'est-ce que le RGPD et comment peut s'appliquer en tant que règlement européen aux entreprises canadiennes? Le RGPD a été adoptée en 2016 et s'applique depuis le 25 mai 2018. Il est applicable non seulement dans toute l'Europe, mais également hors des frontières de l'Union européenne, comme on le dit tout à l'heure, c'est à dire il s'applique partout dans le monde entier, y compris le Canada. Le but de la RGPD est de renforcer les droits des personnes concernées et les obligations des responsables de traitement et de leurs sous-traitants. Alors, pourquoi est-ce important et conforme avec la RGPD? Parce qu'entre autres, il y a des sanctions très, très importantes qui s'appliquent en cas de non-conformité. Il y a bien sûr des sanctions financières salées, c'est à dire que les sanctions peuvent s'élever jusqu'à 20 millions d'euros ou 4 pourcent du chiffre d'affaires global annuel mondial. Mais il y a aussi beaucoup d'autres sanctions qui peuvent être encore même plus dommageables pour l'activité de votre entreprise. Par exemple, les autorités de surveillance en Europe peuvent ordonner l'arrêt du traitement des données personnelles, la suppression des données et même l'arrêt du transfert des données de l'Europe vers le Canada. C'est donc une réglementation qu'il faut prendre vraiment très au sérieux. Mais de quoi parle t-on exactement quand on parle de RGPD? On parle de la protection des données à caractère personnel. On parle donc de la protection de toute information se rapportant à une personne identifiée ou identifiable. Cette définition comprend non seulement les données comme le nom, le prénom, l'adresse de courriels, mais elle comprend aussi beaucoup d'autres données telles que les données de localisation d'identifiants en ligne, l'adresse IP, beaucoup d'autres adresses, beaucoup d'autres - pardon - données personnelles. Puis, contrairement à ce que beaucoup de gens pensent, le RGPP s'applique également dans les relations B2B, car même les adresses de courriel professionnelles tombent dans le champ d'application de la RGPD Parce qu'elle tombe dans les définitions des données à caractère personnel. L'application du RGPP, comme vous le voyez, est donc vraiment très, très vaste. Le RGPD couvre aussi ce qu'on appelle les données particulières à caractère personnel. Ici, on parle de données qui sont plus sensibles, comme par exemple les données qui portent sur l'origine raciale ou ethnique. Des données biométriques et des données concernant la santé. On dit qu'elles sont particulières parce que, de par leur nature sensible, elles doivent bénéficier d'une protection encore plus important. Il faut donc faire bien attention lors de la mise en conformité de votre entreprise avec le RGPD, de leur accorder une attention plus importante que les données qu'on appelle des données régulières. On va maintenant parler du champ d'application territorial RGPD. Est-ce que la RGPP s'applique à votre organisation même si vous êtes situé au Canada? Et bien, la RGPP s'applique au traitement des données à caractère personnel qui concerne des personnes qui se trouvent sur le territoire de l'Union européenne. Donc, on parle pas seulement des personnes qui résident en Europe donc les citoyens européens ou les résidents européens. On parle aussi de personnes qui se situent en Europe au moment où leurs données sont récoltées ou traitées. La RGPD pourrait donc s'appliquer à un Canadien, par exemple, qui est en vacances en Europe et qui donne ses données à une entreprise au Canada pendant son séjour. De manière générale, le RGPD s'applique aux entreprises hors Union européenne, quelle que soit leur taille, car ces entreprises offrent des produits ou des services à des personnes qui se trouvent en Europe, et ce, peu importe si on exige un paiement au nom des personnes qui se trouvent en Europe. Ça s'applique aussi aux entreprises qui suivent le comportement de ces personnes en Europe. Pour autant que le comportement se situe au sein de l'Union européenne, on parle ici, par exemple, de l'utilisation des cookies sur les sites Internet et des trucs du même genre. Comme vous voyez, c'est donc une application très large du RGPD et c'est vraiment pas évident de savoir quand et comment on tombe sous le champ d'application. C'est vraiment du cas par cas. Il faut vraiment prendre le soin d'analyser sa situation pour voir si on tombe dans le champ d'application. Mélanie cette analyse de cas par cas, c'est vraiment. C'est vraiment la base de tout ce qu'il faut faire au début pour savoir si on doit se conformer aux RGPD. Dans la pratique, qu'est-ce que tu peux nous expliquer quel genre de question les entreprises doivent se poser pour savoir si elles tombent dans le champ d'application? 

Mélanie Gagnon Oui, effectivement, il y a plusieurs questions à se poser pour vérifier l'applicabilité. Toutefois, une seule réponse positive ne permet pas en soi de déterminer si votre société tombe sous le champ d'application du RGPD. Il faut vraiment analyser l'ensemble de vos activités, l'ensemble de votre situation. Un exemple de questions, bien évidemment: Faites-vous la promotion de vos services à des personnes sur le territoire de l'Union européenne, par exemple par le biais d'un site Web? On peut avoir plusieurs critères qui peuvent déterminer si vous ciblez ces personnes par le site Web. Par exemple, est-ce que le site Web est traduit dans plusieurs langues parlées dans l'Union européenne, par exemple l'allemand, le néerlandais. Est-ce que vous utilisez un nom de domaine européen, par exemple: . eu, .fr pour la France .be pour la Belgique. Acceptez-vous les paiements en euro ou un autre monnaie européenne et est-ce que vous effectuez des livraisons en Europe? Est-ce que les personnes sur le territoire de l'Union européenne peuvent compléter des formulaires de contact, postuler à des emplois, s'inscrire à une infolettre? Est-ce que vous suivez le comportement des personnes comme Jane le mentionnait via des cookies? Ou encore dst ce que faites du profilage par le biais de votre site web ou si vous faites des analyses prédictives de comportements, de préférences, des habitudes, des sites Web? Toutes ces questions-là concernent le site Web, mais il y a d'autres éléments également. Par exemple, est ce que vous avez des employés en Europe? Evidemment, vous allez faire de la gestion des ressources humaines de personnes sur le territoire de l'Union européenne. Est-ce que votre organisation agit pour le compte de l'organisation européenne? Donc est ce que vous êtes sous-traitant d'une société en Europe? Cette société-là, c'est important de comprendre qu'elle a l'obligation d'avoir des sous-traitants offrant des garanties suffisantes et qu'elle devrait officialiser la relation par un contrat écrit et qu'elle pourra, par ce contrat-là, avoir un pouvoir de d'audit de la conformité de votre société au RGPD. 

Jane Murphy Oui, Mélanie, ce que tu dis là, c'est le dernier point sur les contrats, l'obligation d'avoir des contrats avec des sous-traitants, c'est vraiment vraiment très important. C'est pas juste important au niveau de la description de toutes les obligations qui peuvent avoir de part et d'autre et de la société en Europe et du sous-traitant qui se trouverait au Canada. Mais c'est aussi très important au niveau du transfert des données de l'Union européenne vers le Canada. Parce qu'il faut savoir que la règle de base du RGPD, c'est que c'est interdit de transférer des données personnelles hors Union européenne, sauf si le pays dans lequel on transfère les données, c'est à dire par exemple ici le Canada. Si ce pays-là offre une protection adéquate pour la protection des données personnelles européenne. Ici le Canada, il a un immense avantage à cet égard, surtout vis à vis de son voisin du Sud, parce que le Canada bénéficie de ce qu'on appelle une décision d'adéquation. Ça veut dire qu'on peut transférer des données personnelles de l'Union européenne vers le Canada comme si on était dans l'Union européenne. C'est sûr qu'il y a quelques exceptions, ce n'est pas toutes les entreprises qui tombent dans le champ d'application de cette décision d'adéquation. Donc, il faut bien vérifier au cas par cas si l'entreprise canadienne peut en bénéficier. Mais une grande majorité de ces entreprises pourront en bénéficier donc, ça facilite le transfert transatlantique. Si on ne peut pas en bénéficier, c'est pas trop grave parce qu'il y a aussi toute une série d'autres mécanismes que l'on peut mettre en place pour faciliter ce transfert, entre autres les règles d'entreprise contraignantes. Vous aurez donc compris que vous avez des obligations sous le RGPD, même en tant qu'entreprise canadienne. Mais avant de parler de ces obligations, il faut d'abord bien comprendre les principes du RGPD. Le premier, c'est la licéité, loyauté et transparence. Ici, on parle de la base légale qui vous permet de traiter les données de personnes en Europe. Au total, il y a six bases légales. Mais comme au Canada, on se base quasi tout le temps sur une seule qui est le consentement. Il ne faut pas oublier qu'il y en a beaucoup d'autres. Par exemple, on pourrait utiliser comme base légale l'exécution d'un contrat ou l'exécution d'une obligation légale. Il faut par contre choisir. On ne peut pas prendre une base légale, changer pour une autre base légale après. Par exemple, on ne peut pas dire au début que c'est un contrat, mais après dire qu'on va quand même obtenir le consentement. Il faut toujours utiliser la même base légale, bien la définir au début et donc le principe de transparence, y compris dans ce même principe ici. Le premier principe, c'est qu'il faut être transparent. Il faut expliquer cette base légale là dans la politique de confidentialité qui se trouve la plupart du temps sur le site internet de l'entreprise. Il faut expliquer comment on traite les données. Qu'est-ce qu'on en fait? Comment on les transferts, etc. C'est très important de savoir qu'est-ce qu'on fait au sein de l'entreprise et de l'expliquer après aux personnes desquelles vous obtenez les données personnelles. Le deuxième principe, c'est le principe de la limitation des finalités. Ça, ça veut dire qu'on peut juste utiliser les données pour la raison pour laquelle on dit qu'on va l'utiliser. On ne peut pas utiliser les données pour une autre raison. Par exemple, si on récolte des données pour un concours, on ne peut pas utiliser ces mêmes données pour envoyer des infolettre sans avoir obtenu au préalable l'accord ou le consentement, c'est à dire des personnes desquelles vous avez obtenu les informations. Quand on s'inscrit pour un concours, ça ne veut pas dire qu'on s'inscrit pour une infolettre donc on ne veut pas mélanger les finalités et utiliser les données pour différentes finalités. Le troisième principe, c'est le principe de la minimisation des données. C'est assez simple, c'est qu'on doit utiliser les données seulement et strictement seulement pour ce qui est nécessaire au traitement. Rien de plus. Encore ici. Ça retouche aussi. On retombe dans le principe de la finalité des données. Il faut bien comprendre pourquoi on recolle les données et on récolte le strict minimum nécessaire. Mélanie, je te laisse la parole pour les autres principes. 

Mélanie Gagnon Oui, le quatrième principe, le principe d'exactitude. Donc, on doit s'assurer que les données qu'on traite, les données collectées sont exactes et à jour. Donc, on doit mettre en place toutes les mesures raisonnables pour pouvoir rectifier ou encore effacer des données inexactes. Un des principaux oubliés la limitation de conservation quand on a tendance à conserver les données sans fin advitam eternam, alors que chaque donnée traitée doit être conservée pour une durée déterminée et supprimée à la fin de la vie utile. Par contre, les données peuvent être conservées plus longuement. Par exemple, si on conserve pour des fins archivistiques, des fins de recherches scientifiques ou historiques, mais encore sous réserve de mettre en œuvre des garanties appropriées, par exemple le pseudonymisation. Un nouveau principe du règlement est le principe de responsabilité. Donc, avant, on avait des notifications, des demandes d'autorisation à l'autorité de contrôle pour traiter les données. Mais maintenant, avec le règlement, on responsabilise les sociétés, les responsables de traitement et les sous-traitants. Avec ce principe-là, c'est à eux de s'assurer du respect des obligations et également d'être en mesure de démontrer leur conformité. Par exemple, tenir un registre de traitement, ce serait de mettre en place une gouvernance, des politiques, des procédures, etc. Et de documenter également toutes leurs actions relatives à la protection des données. Le dernier principe est principe d'intégrité confidentialité qui est intimement lié à une autre exigence de règlement qui la sécurité de l'information. Evidemment, la sécurité est un élément crucial dans la protection des données. En gardant en tête que le règlement est une approche basée par les risques, tout comme la sécurité de l'information, le RGPD on va se baser sur les risques. On va se baser sur une analyse des activités, de la nature des données, Jane au départ tu parlais au des données sensibles, des données de catégories particulières. Évidemment, beaucoup plus de sécurité à mettre en place autour de ces données là que d'autres types de données. On fait une analyse et on va mettre en place des mesures techniques et organisationnelles appropriées pour garantir le niveau de risque adapté, un niveau de sécurité adapté aux risques pour s'assurer de l'intégrité et de la confidentialité des données, mais également de la disponibilité : s'assurer de protéger des données contre la perte, la destruction ou d'autres cas accidentels. Maintenant que nous avons vu les principes du Règlement, on va parler maintenant des différentes obligations, de vos obligations en tant que responsable de traitement ou de sous-traitants. Ey je vais laisser la parole à Jane, Jane peux-tu nous parler de l'obligation de nommer un représentant. 

Jane Murphy Oui, merci Mélanie. Donc, l'obligation de nommer un représentant, on l'appelle souvent l'obligation oubliée. Pourquoi c'est oublié? Parce que personne n'y pense. C'est pas juste parce qu'on n'y pense pas. Il y a beaucoup d'entreprises, en tout cas, la vaste majorité des entreprises ne connaissent pas cette obligation. C'est surtout dû au fait qu’en Europe, le règlement, c'est un règlement européen, les recommandations pour la mise en application, a été dirigée quasi exclusivement vers les sociétés européennes. On a oublié que cette obligation de l'article 27 du RGPD s'appliquait seulement aux entreprises hors Union européenne. Donc, on la met jamais dans les checklist pour les mises en conformité. Mais c'est une obligation qui est vraiment très, très importante parce qu'elle comporte une sanction particulière pour la non-conformité avec cet article. Donc, de quoi il s'agit? C'est donc l'obligation, comme on disait, de désigner un représentant. Et il faut savoir quand doit on nommer un représentant dans l'Union européenne? Si votre entreprise tombe sous le champ d'application du RGPD, vous devez nommer un représentant. Si vous n'avez pas d'établissement en Europe, on a vu tout à l'heure, on a discuté de l'application territoriale du RGPP. Donc, si vous offrez des biens et des services, des biens ou des services en Europe, même gratuitement, ou si vous faites la surveillance du comportement des personnes en Europe, vous tombez probablement dans le champ d'application du RGPP. Si vous n'avez pas d'établissement en Europe, vous devez nommer un représentant en Europe. Il y a quelques exceptions, mais elles s'appliquent de façon tellement stricte. Elles sont cumulatives. On ne peut pas rentrer dans les détails ici, mais en pratique, en tout cas nous, on a jamais vu que c'est ces exceptions pouvaient s'appliquer. Donc, si vous tombez sous le champ d'application du RGPD comme société canadienne, vous devez normalement nommer un représentant en Europe. Donc, pourquoi nommer un représentant? Et que fait le représentant? Elle représente trois fonctions principales. Premièrement, c'est le point de contact pour les personnes concernées en Europe. Cela veut dire que typiquement, ce que vous allez faire, c'est vous allez mettre les coordonnées du représentants sur votre politique de confidentialité sur votre site Internet. Ça veut dire que les personnes en Europe vont sur votre site Internet, regarde la politique de vie privée et ils vont voir les coordonnées du DPO à titre de représentant et ils vont prendre contact avec nous. Ils vont nous écrire un email ou ils vont nous contacter via notre site Internet, puis ils vont demander de faire exercer leurs droits qui leur sont reconnus par le RGPD. Il y en a plusieurs, mais ceux que l'on voit le plus souvent, c'est bon. "Je voudrais faire supprimer mes données. Je ne vais plus recevoir d'informations de cette entreprise hors Union européenne où je vais avoir une copie de mes données". Ce genre de droits là. Donc nous, on agit comme intermédiaire entre les personnes en Europe et les personnes hors Union européenne, c'est à dire les sociétés, par exemple canadiennes. Le but de tout ça, c'est de rendre la vie plus facile aux personnes en Europe. Comme ça, elles doivent pas commencer à regarder les fuseaux horaires, à chasser les personnes de contact dans le monde entier dans une langue qui est souvent différente de la leur. Le deuxième, la deuxième fonction que nous avons, c'est d'agir comme point de contact pour les autorités de contrôle en Europe. Ça veut dire que les autorités de contrôle, c'est pas parce que vous avez une société qui est hors Union européenne que vous tombez pas dans le champ de vision et de supervision de ces autorités de contrôle. Par exemple, si quelqu'un porte plainte contre vous contre le traitement que vous faites de leurs données, elles vont porter plainte aux autorités. Les autorités vont nous contacter pour poser des questions: quelle sorte de traitement des données des personnes en Europe? Dans quel but? Dans quelle finalité? Etc. La troisième fonction du représentant, c'est de tenir une copie de votre registre de traitement des données. C'est quoi un registre de traitement des données? C'est un registre. Ça peut être bêtement un fichier Excel. Ça ne doit pas être très compliqué, mais c'est un fichier qui reprend une description des activités de traitement des données personnelles européennes. Ici, il ne faut pas confondre tout ce qui est traitement de données autres que personnelles européennes. Ça veut dire que, par exemple, si vous avez le traitement de données personnelles de vos employés canadiens, vous n'allez pas inclure ça dans votre registre. Donc, tout ce qui est la partie ressources humaines sera exclue de rejet. C'est vraiment juste une description des traitements de données personnelles européennes que vous mettez dans le registre et ça ne doit pas dépendre des activités de votre entreprise, ne doit pas être nécessairement hyper détaillé, mais quand même assez assez bien décrit pour permettre de bien comprendre ce que vous faites, comment vous traitez les données de personnes en Europe. Donc, nous, en tant que représentants, on a l'obligation de tenir une copie en tout temps de votre registre. Donc, au fur et à mesure que vous mettez aussi à jour. Vous devez aussi nous transmettre une mise à jour de votre geste. Ça, c'était les trois principales fonctions du représentant. Chez EDPO, on a décidé qu'on rajoutait une quatrième fonction qui, pour nous, est vraiment très cruciale. Et ça, c'est l'assistance en cas de notification des violations des données aux autorités de surveillance. Il faut vraiment être prêt à ça, donc ça doit être vraiment dans vos politiques. Vous devez déjà avoir fait des tests pour savoir comment vous allez réagir dans ce type de procédure parce que c'est assez stressant de se retrouver dans un cas de notification de violation de données parce que la notification doit être faite dans les 72 heures de la prise de connaissance de ces données-là. Et puis, les procédures pour la notification des données n'est pas harmonisée au niveau européen. Enfin, par rapport au représentant, il y a un élément très important qu'il faut aussi garder en tête. Si on ne peut agir que sous les instructions de notre client, donc on n'est pas du tout comme un DPD, un DPD qui est le délégué à la protection des données qu'on appelle en anglais un DPO. Et lui doit être tout à fait indépendant. Mélanie, toi, tu agis très régulièrement comme des pays où les entreprises au Canada, puis en Europe, parce que tu peux nous expliquer en quoi consiste le rôle qui est vraiment super important. 

Mélanie Gagnon Oui effectivement Jane, le délégué à la protection des données, doit vraiment être indépendant et sans conflit d'intérêt et ne doit pas, contrairement aux représentants avoir des instructions de la part du responsables de traitements ou du sous-traitants. Le DPD, on peut le comparer à un chef d'orchestre, donc c'est le pilote de la mise en conformité avec le règlement. Il ne faut pas oublier que la responsabilité ultime de la conformité au règlement demeure au dirigeant de l'organisation. Le délégué a plusieurs missions. La première, c'est d'informer conseiller le responsable du traitement et sous-traitant. Il peut conseiller également les employés sur toute question relative à la protection des données. Il va contrôler le respect du règlement, on peut le comparer à un auditeur interne. Il peut aller faire des audits ponctuels comme il veut sur le respect du règlement, le respect de la conformité. Il va dispenser des conseils sur demande Il va coopérer avec l'autorité de contrôle, notamment en cas de violation de données ou pour toute question si l'autorité de contrôle effectue un audit, et peut également être contacté directement par les personnes concernées. Il y a différents critères pour savoir si on doit obligatoirement désigner ou non un DPD. La première, c'est simple. Si votre entreprise appartient au secteur public, vous avez l'obligation de nommer un DPD. Évidemment, si vous traitez des données de personnes sur le territoire de l'Union européenne. Si vous n'appartenez pas au secteur public, vous appartenez au secteur privé. Il y a deux critères pour savoir si vous devez nommer un DPD. Donc, si vous vous faites un suivi régulier et systématique à grande échelle des personnes concernées, dans le cas de vos activités de base, vous devez nommer un DPD, par exemple on prend un cas d'actualité qui est l'application dans le cas du covid qui est de suivre systématiquement les allées et venues des personnes ou encore, si vous êtes un amener à traiter des données sensibles ou relatives à des condamnations pénales  encore à grande échelle. On parlait de données à des catégories particulières: les données de santé. On va devoir nommer un DPD. Ces règles là, ça s'applique, peu importe la taille de l'entreprise, dans le sens où une startup qui a une application mobile qui traite des données de santé. Même si la startup n'a que a deux personnes. Elle va devoir nommer un DPD. Le DPD il peut être autant salarié ou encore accomplir sa mission en vertu d'un contrat comme MGSI, on joue le rôle officiel de DPD externe pour différentes sociétés publiques ou privées. Mais par contre, le DPD est fortement recommandé d'être sur le territoire de l'Union européenne pour pouvoir être accessible facilement par les personnes concernées. Dans le même fuseau horaire ou encore pouvoir échanger dans la langue parlée par cette personne-là. Personne ne parle allemand. On doit pouvoir échanger par écrit ou oralement en allemand. Pour terminer et répondre à notre troisième et dernière question par où commencer pour votre mise en conformité? Il y a plusieurs actions à faire pour mettre votre société en conformité. La première, c'est de faire un état des lieux. C'est quoi un état des lieux? C'est de regarder vos activités, quelles activités tombent sous le champ d'application du règlement et de vérifier les aspects qui sont non conformes au règlement. Par exemple, votre site web, si il n'y a pas de notice de confidentialité, vous avez des cookies. Vous devez ajouter des bandeaux, etc. On doit analyser les différentes activités et mettre en place un plan d'action pragmatique qui va comprendre différentes actions à faire et dans cet état des lieux, on va analyser l'obligation de nommer un DPD, l'obligation de nommer un représentant, on va vérifier la conformité des politiques, procédures, les registres. Comme je l'ai mentionné, mettre en conformité vos sites Web, établir, mettre à jour le contrat. J'entends parler que c'est un élément crucial. Donc, on doit s'assurer d'avoir des contrats qui respectent les différentes choses du règlement. Ensuite, vérifier les mesures de sécurité, s'assurer d'avoir les mesures techniques, organisationnelles appropriées et évidemment, sans oublier de sensibiliser et former son personnel aux bonnes pratiques, aux principes du règlement. 

Jane Murphy Oui, Mélanie, c'est super important ce que tu mentionnes là, comme une des actions à mettre en place parce que sensibiliser son personnel, ses employés, on le voit à quel point c'est important, parce que les récentes études démontrent que la vaste majorité des violations des données sont causées par les employés. Est-ce que c'est intentionnel ou pas? La majorité du temps, ça ne l'est pas. C'est surtout parce qu'il y a un manque d'information et un manque de formation. Donc c'est vraiment très important de donner les bases à ses employés et à son personnel et aux sous contractants avec qui on travaille pour être sûr que tout le monde comprend bien ses obligations sous la RGPP. Et pour terminer, pourquoi se mettre en conformité avec le RGPD? C'est pas seulement à propos et à cause des sanctions. Donc, on doit pas juste dire on se met en conformité avec le RGPD pour éviter les sanctions. La mise en conformité avec le RGPD, il faut le voir aussi côté positif parce que ça offre beaucoup, beaucoup d'opportunités aux entreprises, ne serait-ce qu'en termes de compétitivité pour les partenariats, pour la confiance des clients et, au-dessus de tout, pour sa bonne réputation. Parce que si on peut montrer qu'on est conforme avec le RGPD, qui est un des standards les plus élevés au monde, on est conforme partout dans le monde après tout, parce que GPD, c'est les standards les plus élevés et donc être en conformité avec l'ère GPD, c'est aussi avoir un passeport de conformité pour le monde entier. Donc voilà, c'était notre tour d'horizon sur l'impact du RGPD pour les entreprises canadiennes. Merci beaucoup à l'ambassade du Canada de nous avoir invité. Mélanie et moi, pour vous parler aujourd'hui, nous restons bien sûr à votre disposition pour répondre à toutes vos questions. Merci beaucoup. Au revoir!

Pour plus d’information, veuillez contacter le service des délégués commerciaux. Nous avons plus de 25 bureaux à travers l’Europe qui peuvent vous aider à identifier des opportunités et faire des affaires dans les 27 pays membres de l’Union Européenne ainsi que le reste de l’Europe. Nous vous encourageons à visiter notre site déléguéscommerciaux.gc.ca afin de mettre à votre service notre vaste réseau de professionnels.

Signaler un problème ou une erreur sur cette page
Date de modification: