Transcription – Épisode 3 : Utiliser les normes et mécanismes d’accréditation pour se mettre en conformité avec la RGPD

Bienvenue dans la série de podcasts qui a pour but d’aider les entreprises canadiennes à exporter et à croitre leurs activités au sein de l’Union Européenne. Tous les mois, nous invitons des experts à partager des recommandations sur les secteurs et marchés clés ainsi que conseils pratiques pour aider les entreprises canadiennes à faire des affaires dans l’Union Européenne.  

Aliénor Fagette Bonjour et bienvenue dans le podcast « Du Canada vers l’Europe : Conversations Commerciales ».  L'objectif du podcast d'aujourd'hui est d'expliquer comment les entreprises canadiennes peuvent utiliser les mécanismes d’accréditation pour se conformer à leurs obligations dans le cadre du Règlement Général sur la Protection des Données de l'UE, mieux connu sous son acronyme, RGPD. Depuis mai 2018, la RGPD a créé des règles plus strictes pour les entreprises sur la manière de traiter et de gérer les données personnelles de l'UE. Elle est réputée pour ses  normes de protection des données les plus strictes au monde et pour les sanctions importantes qu'elle prévoit en cas de non-respect. Et cette réglementation, bien qu'européenne, peut s'appliquer aux entreprises situées en dehors de l'UE, y compris aux entreprises canadiennes. L'Union européenne et ses États membres n'ont pas encore mis en place de mécanismes de certification qui permettraient aux entreprises de démontrer leur conformité avec la RGPD. Toutefois, il existe des alternatives pour les entreprises canadiennes, vous pouvez déjà utiliser les normes et les systèmes de certification existants dans votre processus de conformité. Je suis votre hôte, Aliénor Fagette, délégué commercial pour les industries numériques à la Mission du Canada auprès de l'Union européenne. Avec moi aujourd’hui, Alex Héroux. Alex est un spécialiste sectoriel du programme d'innovation du CCN, le Conseil canadien des normes, et il a coordonné les travaux du CCN sur la RGPD. Bonjour, Alex, et merci pour votre participation à ce podcast.  

Alex Héroux Bonjour Aliénor, merci beaucoup de m'avoir invité et merci à Affaires Mondiales Canada de m'avoir invité à participer à ce podcast aujourd'hui. Je suis très heureux de pouvoir discuter non seulement de la RGPD, comme vous l'avez mentionné, mais aussi du rôle que la normalisation peut jouer dans le processus de conformité à la RGPD.  

Aliénor Fagette Donc, pour ceux qui nous écoutent et qui n'ont jamais entendu parler du Conseil canadien des normes avant aujourd'hui. Pouvez-vous nous expliquer brièvement ce qu'il est et ce qu'il peut faire pour les entreprises canadiennes ? 

Alex Héroux Absolument, oui. Le CCN est donc une société d'État située à Ottawa. Et notre rôle est vraiment de promouvoir l'utilisation et le développement de stratégies de normalisation. Et quand je parle de stratégies de normalisation, cela inclut les normes et les programmes de certification. Pour ceux qui ne sont pas familiers avec le monde de la normalisation, les normes sont un document publié avec des spécifications et ces spécifications assurent la fiabilité, la sécurité, la performance d'un matériau, d'un produit ou d'un service. Si nous examinons le deuxième aspect des stratégies de normalisation, qui est le programme de certification, dans une description très brève, le programme de certification est un mécanisme permettant de vérifier que l'utilisateur de la norme se conforme effectivement à la norme. Je suis donc sûr que vous êtes allé dans un magasin et si regardez sur l'étagère, il existe de nombreux produits différents et certains de ces produits portent une marque de certification, cette marque de certification garantit que le fabricant, par exemple, a respecté la norme et a contribué à établir cette relation de confiance entre le consommateur et le fabricant. 

Aliénor Fagette Et de quelle manière le CCN aide-t-il les entreprises canadiennes ? 

Alex Héroux Oui. Nous aidons donc les innovateurs à naviguer les différents aspects de la normalisation. Par exemple, nous pouvons les soutenir dans le développement d'une nouvelle norme qui serait bénéfique pour leur technologie, ou nous pouvons les aider à identifier les bonnes normes pour faciliter le processus de conformité à un règlement spécifique, par exemple, la RGPD. 

Aliénor Fagette En parlant de la RGPD, vous coordonnez le travail d'un comité sur la protection des données au sein du CCN depuis un an et demi. Et le résultat des travaux de ce comité est une liste de normes qui vise à aider les entreprises canadiennes à se conformer à leurs obligations dans le cadre de la RGPD. Pouvez-vous nous en dire un peu plus sur cette liste ?

Alex Héroux Absolument. Donc, pour vous donner un peu de contexte, le CCN a créé le Comité consultatif canadien sur la RGPD vers janvier 2018. L'objectif était d'avoir un forum national ayant pour mandat de partager des informations pertinentes sur la GDPR, de fournir des recommandations et, si possible, de s'engager dans des activités de normalisation pour aider les organisations canadiennes, principalement les PME, à se conformer à leurs obligations en matière de GDPR. 

Aliénor Fagette Alors, comment cela fonctionnait-il en pratique et quel type de recommandations ce comité a-t-il fourni aux PME canadiennes ? 

Alex Héroux Eh bien, nous avons eu la chance d'avoir le soutien de plus de 50 experts venant de différents domaines, des avocats, des experts de la protection de la vie privée, un représentant du gouvernement. Et évidemment, une partie de notre travail consistait à introduire les normes dans cette conversation et à déterminer comment les normes peuvent aider les entreprises dans le processus de conformité à la RGPD. C'est ainsi que nous avons créé ce document d'orientation. La manière dont nous avons élaboré le document d'orientation comporte en réalité deux aspects. Nous avons un aspect plus commun où nous identifions les articles clés du règlement. Nous fournissons une très brève description de la réglementation et de ses différentes dispositions. Nous avons également inclus une étude de cas ainsi que des exemples d'industries et de la manière dont ces industries sont touchées par la RGPD. Mais le deuxième aspect du document, qui me semble vraiment intéressant et un peu plus unique, est l'inclusion de diverses normes tout au long du document. Plus précisément, la norme ISO. Et ces normes sont accompagnées d'une brève description, une description d'une ligne de ce qu'est la norme et comment elle peut vous aider à vous conformer à la RGPD.

Aliénor Fagette Merci pour cet aperçu très complet des travaux du CCN, Alex. Je voudrais juste souligner quelque chose de très important. L'adoption des normes recommandées par le CCN n'est pas une garantie de conformité totale avec la RGPD. Mais elles fournissent des conseils et permettent aux entreprises de promouvoir le respect de certaines de ces dispositions. Et nous pourrions peut-être illustrer cela par un exemple plus concret. Disons que je suis une PME canadienne et que mes activités dans l'UE exigent que je me conforme à la GDPR. Pouvez-vous expliquer très concrètement comment les normes et la certification peuvent m'aider à comprendre et à respecter mes obligations dans le cadre de la RGPD ? 

Alex Héroux La normalisation peut soutenir un processus de conformité car elle fournit de nombreuses lignes directrices, des cadres, des bonnes pratiques et des procédures. Et ces procédures, bien qu'elles ne soient pas directement intégrées dans la RGPD, reflètent tout de même certaines exigences qui sont prévues dans la RGPD. Nous avons donc une multitude de normes volontaires qui ont été développées pour améliorer les meilleures pratiques en matière de protection des données, de cybersécurité de l'information et de protection des technologies. Et ces normes fournissent une base solide aux organisations canadiennes pour leur conformité avec la réglementation. 

Aliénor Fagette Pouvez-vous nous donner un exemple concret de norme qui serait pertinente pour la RGPD ? 

Alex Héroux Absolument. Nous pouvons nous contenter d'un exemple, par exemple, qui est une norme assez populaire. Il s'agit de la norme ISO 2701 pour les technologies de l'information, du système de gestion de la sécurité de l'information. Eh bien, cette norme fournit un cadre solide pour la mise en place d'un système de gestion de la sécurité de l'information. Bien que cette norme ne soit pas spécifiquement mentionnée dans le GDPR, avoir un système de gestion de la sécurité de l'information robuste est extrêmement utile pour se conformer au GDPR. Nous croyons donc fermement que ces normes peuvent faciliter le processus de conformité et rendre votre processus de conformité tellement plus facile avec toutes ces informations précieuses accessibles par le biais des normes. 

Aliénor Fagette J’ai deux autres questions ce sont des questions que nous recevons souvent des entreprises. Combien coûte le processus de certification et combien de temps dure-t-il ? 

Alex Héroux Oui, c'est une bonne question. Et malheureusement, je ne serai pas en mesure de vous fournir une réponse claire. Le processus de certification varie en fonction du programme de certification. Il varie selon l'organisation qui cherche à se faire certifier, sa taille, sa structure, le domaine sur lequel elle travaille. Ainsi, si nous cherchons, par exemple, la norme 2701 et le processus de certification, cela peut être aussi rapide que six mois, mais cela peut aussi être plus long. Et si nous regardons le prix. Là encore, cela dépend de la norme et de l'organisation. Mais je peux dire que c'est certainement quelques milliers de dollars canadiens en tout. 

Aliénor Fagette Donc, d'après ce que vous nous dites, le processus de normalisation et de certification peut être relativement long et il a aussi un certain coût. Alors pourquoi les entreprises canadiennes devraient-elles consacrer du temps et de l'argent à l'adoption de normes ?

Alex Héroux Eh bien, je crois fermement que les normes sont un moyen peu coûteux d'accéder à des informations précieuses. Une norme peut coûter cent dollars, deux cents dollars. Et ces normes sont élaborées par des experts du monde entier. Et donc, grâce à ces normes, vous avez accès à toutes les informations que les experts ont dit, oh, OK. C'est ce que nous devrions faire pour avoir un cadre solide et une sécurité de l'information. C'est la procédure que nous devrions suivre. Donc quelques centaines de dollars pour une norme qui vous fournirait les meilleures informations et les meilleurs outils, la meilleure stratégie pour rendre votre organisation plus sûre. Je pense que c'est un très bon investissement à court terme et à long terme. 

Aliénor Fagette Oui, absolument. Et nous pourrions aussi ajouter que l'adoption de normes peut aider les entreprises à gagner la confiance de clients potentiels. Ainsi, dans le cas du RGPD, par exemple, cela pourrait permettre à une entreprise de démontrer que son système informatique est suffisamment robuste pour protéger les données personnelles contre la plupart des cyber-attaques. Cela peut également leur donner de facto un avantage concurrentiel par rapport aux entreprises qui n'ont pas adopté les normes. Nous espérons donc que toutes ces raisons vous convaincront qu'il vaut la peine d'examiner les normes lorsque votre entreprise doit se conformer au RGPD. Et voilà qui conclut le podcast d'aujourd'hui. Je tiens vraiment à vous remercier pour votre temps et votre participation à ce podcast, Alex.

Pour plus d’information, veuillez contacter le service des délégués commerciaux. Nous avons plus de 25 bureaux à travers l’Europe qui peuvent vous aider à identifier des opportunités et faire des affaires dans les 27 pays membres de l’Union Européenne ainsi que le reste de l’Europe. Nous vous encourageons à visiter notre site déléguéscommerciaux.gc.ca afin de mettre à votre service notre vaste réseau de professionnels.