Cette mesure édicte des règles très strictes concernant la collecte et l’usage de renseignements personnels en ligne.

« Les amendes que l’Europe peut imposer aux entreprises qui ne respectent pas ces règlements sont particulièrement salées », indique Didier Culat, avocat spécialisé en libre-échange au cabinet BCF.

Le coup de massue sur les doigts peut atteindre 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros (31,4 millions de dollars)… au plus élevé des deux.

La réglementation est particulièrement stricte à l’endroit des données personnelles critiques – marqueurs biométriques, appartenance à un syndicat, orientation sexuelle…

« Si ces informations étaient divulguées par inadvertance ou n’étaient pas prises en charge comme le règlement le prévoit, on pourrait probablement être sujets à ces plus grosses pénalités », soulève son collègue Nicolas St-Sauveur, membre de l’équipe stratégique web de BCF.

Les entreprises non européennes sont elles aussi soumises au règlement, dès lors qu’elles recueillent des renseignements personnels, à des fins de profilage ou pour la vente de produits ou services.

Le RGDP touchera particulièrement les entreprises québécoises qui entendent profiter de l’Accord économique global entre le Canada et l’Union européenne pour accroître leurs ventes en ligne.

« Les entreprises au Québec n’en ont à peu près pas entendu parler, ou très peu, poursuit Nicolas St-Sauveur. Il est important qu’elles soient mises au courant pour se préparer et se poser à la question : “Est-ce que je dois me conformer à ce règlement ou pas ?” »

UN TRAVAIL « TITANESQUE » POUR ÊTRE EN CONFORMITÉ

L’entrée en vigueur du RGPD soulève peu d’intérêt parmi les 125 sociétés membres de la Chambre économique Canada-Europe, admet son président Sam Ayoub, même si elle doit concerner au moins 20 % d’entre eux.

« Ça n’a pas encore été discuté dans le cadre de nos activités, dit-il. On n’a pas senti que ça touchait un nombre assez important de nos membres. »

« C’est souvent une fois que les règlements entrent en fonction que certaines entreprises réagissent. Il y a un peu de méconnaissance aussi. »

— Sam Ayoub, président de la Chambre économique Canada-Europe

L’entreprise VanillaSoft, de Gatineau, n’a pas eu le choix de se conformer au RGPD puisque 5 % de son chiffre d’affaires est réalisé en Europe.

« Ç’a été une décision facile pour nous », dit David Hood, PDG de la société informatique spécialisée dans les logiciels de soutien aux équipes de vente.

« Je crois qu’il s’agit d’un bon modèle en vue de ce qui devra être appliqué tôt ou tard au Canada et aux États-Unis, ajoute-t-il. Surtout dans la foulée de l’affaire Cambridge Analytica. »

L’entreprise de 50 employés, qui a aussi des bureaux à Londres et à Plano, au Texas, dit avoir dépensé 10 000 $ au total pour respecter les nouvelles exigences réglementaires européennes et s’assurer que l’ensemble de ses fournisseurs fassent de même.

Chez Coveo, à Québec, ce sont les 500 logiciels différents utilisés par le spécialiste des moteurs de recherche pour entreprises qui ont dû être scrutés à la loupe. « Ça fait en sorte que le département des achats, qui gère les relations avec nos fournisseurs, doit être beaucoup plus fort », dit la conseillère juridique Anne Thériault, qui a piloté l’équipe juridique de Coveo dans cette transition.

En vertu du RGPD, tout employé qui est appelé à manipuler des données personnelles doit recevoir une formation spécifique. « Pour nous, ça représente l’ensemble de notre main-d’œuvre, soit 300 personnes », dit Anne Thériault.

C’est sans compter le millier de contrats liant Coveo à ses clients qui ont dû être amendés à la demande de ces derniers. « Puisque nous hébergeons leurs données, eux aussi doivent avoir en main un document qui prouve que nous respectons le RGPD », dit Me Thériault.

« C’est une tâche titanesque qui nous occupe à temps plein depuis deux ans », dit-elle.

Accord spécifique

La pratique nord-américaine veut que le client accorde son consentement en ligne en cochant une case à la fin d’un pavé aussi dense qu’abscons.

Évidemment, les seuls à l’avoir lu sont les avocats qui l’ont rédigé.

« On clique et on a accepté que l’entreprise fasse à peu près n’importe quoi avec nos données », résume Nicolas St-Sauveur, membre de l’équipe stratégique web de BCF.

Avec le Règlement général sur la protection des données (RGPD), « il faut que chaque consentement soit spécifique à l’utilisation de nos renseignements personnels ».

La politique de confidentialité devra être décrite distinctement des autres modalités de la transaction. Dans certains cas, il faudra même expliquer quels risques peut comporter le transfert de ces renseignements personnels au Québec.

Retrait du consentement

Autre élément absent au Canada : le client doit pouvoir retirer son consentement aussi facilement qu’il l’a accordé.

S’il fallait cocher une case en ligne pour accepter les modalités d’utilisation des données personnelles, il suffira de cocher une case semblable, quelque part sur le site, pour se retirer.

Dès lors, l’entreprise ne pourra plus détenir les renseignements personnels du client, et un moyen technologique devra les effacer de toutes ses bases de données.

Quelles données ?

Les entreprises ne pourront recueillir des données personnelles que dans un but spécifique, et seulement celles nécessaires à l’atteinte de cet objectif. Le RGPD ajoute d’ailleurs des précisions sur ce qui constitue un renseignement personnel : une adresse IP en est une. « Au Canada, il y a une incertitude », indique Nicolas St-Sauveur.

Transfert des données

Si l’entreprise transmet les renseignements personnels de ses clients à un sous-traitant, « il faut que j’aie un contrat avec ce sous-traitant, dans lequel il s’engage lui aussi à respecter le règlement », informe Nicolas St-Sauveur.

Si l’entreprise doit effacer les renseignements personnels à la demande de son client, « le sous-traitant doit faire la même chose ». « J’ai l’obligation de m’assurer que mon sous-traitant sera capable de le faire. »

Un registre

L’entreprise doit tenir et pouvoir produire un registre qui détaille toutes ses activités de traitement de données personnelles. « Je ne suis pas certain que les entrepreneurs québécois sachent exactement quel type de renseignements personnels ils ont sur leurs clients, à qui ils les ont envoyés exactement, exprime Nicolas St-Sauveur. Toutes ces informations doivent être consignées dans un registre. Nos entreprises ne sont pas prêtes à faire face à ça. »

Consentement parental

Sur les médias sociaux, l’entreprise devra s’assurer que les personnes de moins de 16 ans obtiennent une autorisation parentale avant de divulguer leurs renseignements personnels.

« Comment fait-on pour s’assurer que l’utilisateur de notre média social a plus de 16 ans ? Toute cette question devra être prise en compte », fait valoir Nicolas St-Sauveur.

Représentant et délégué

Les entreprises qui vendent « plus qu’occasionnellement » dans l’Union européenne auront l’obligation de nommer sur place un représentant qui recevra les plaintes et demandes d’accès des citoyens.

« Un commerçant québécois n’a certainement pas là-bas un représentant qui va attendre que les Européens posent des questions, soulève Me St-Sauveur. Il va falloir mettre ça en place s’il fait affaire plus qu’occasionnellement sur le territoire européen. »

Si l’entreprise manipule une quantité substantielle de données personnelles européennes, elle devra même créer à l’interne un poste de délégué à la protection des données.

Recommandations aux PME québécoises

En regard du coût de la mise en place de ces mesures et du poids des pénalités si on y fait défaut, comment les PME québécoises qui vendent en ligne en Europe devraient-elles aborder le problème ?

« On n’a pas de boule de cristal pour savoir comment ce règlement va être appliqué, répond Me St-Sauveur, mais il reste que ce sont des dommages tellement importants qu’il faut se poser la question : on embarque dans le jeu ou on se tient à l’écart ? Pour une petite entreprise qui ne vendrait pas suffisamment en Europe, notre conseil serait probablement celui-ci : si tu n’es pas prêt à faire face à ces obligations, tu n’es pas obligé de vendre en Europe. »

Il suggère une réflexion en trois étapes.

– « Un : s’asseoir et voir ce qu’on collige, ce qu’on fait avec ces renseignements. Y a-t-il moyen facilement de les limiter et de se conformer au minimum ? »

– « Prendre acte et regarder où sont nos enjeux comme entreprise, quels sont les coûts de cette mise en place. Est-ce que ça en vaut la chandelle ? »

– « Si la réponse est non, attendre un peu avant d’accepter de nouvelles ventes en ligne sur ce territoire. »

Que vous inspire l’adoption prochaine du Règlement général sur la protection des données en Europe ?

Bien sûr, on suit ça de près. Nous faisons partie de différents forums internationaux avec des commissariats européens et nous sommes donc en contact avec eux à propos de ces questions depuis des années.

Le règlement européen à venir est évidemment une norme élevée, importante, utile. À ce titre, il servira d’inspiration.

Vous vous intéressez en particulier à la notion de consentement, liée au fait de publier ses informations personnelles, qui est appelée à évoluer ?

Oui, depuis mon entrée en fonction, nous avons établi des priorités stratégiques au commissariat. L’une de celles-ci était d’examiner le régime de consentement en vertu de la loi fédérale actuelle.

Étant donné les développements technologiques comme le big data et l’intelligence artificielle, nous pouvons nous demander s’il est encore utile d’avoir un régime fondé sur le consentement. Est-ce qu’il peut être éclairé dans ces conditions ?

L’une des leçons importantes de la consultation que nous avons menée est que la grande majorité des Canadiens pensent que le consentement demeure un concept important.

Dans certaines circonstances toutefois, le consentement devra probablement être remplacé par une autre forme de protection.

Quel genre de protections voyez-vous ?

En Europe, il y a une demi-douzaine de motifs juridiques qui peuvent permettre à une compagnie d’utiliser les renseignements. Le consentement en est un, mais il y a aussi, entre autres, une notion qui s’appelle « les intérêts légitimes d’une compagnie ». C’est une notion qui doit être appliquée cas par cas, même si on n’a pas le consentement du consommateur ou de l’individu.

C’est aussi une notion qui est très élastique. On ne la rejette pas, mais on a exprimé une préférence pour que le Parlement fédéral étudie la question de savoir si le consentement pouvait être écarté dans certaines technologies, dont le big data et l’intelligence artificielle, donc pour des fins précises où le consentement serait plus difficile à obtenir.

Par quoi pourrait-il être remplacé ?

Plutôt que d’avoir un concept élastique comme en Europe, nous avons proposé d’avoir des exceptions précises avec des conditions, par exemple, une étude de la part de la compagnie quant aux motifs pour lesquels elle pense qu’il serait légitime d’utiliser les renseignements. Ça devrait faire l’objet de vérifications de la part du commissariat lorsque ce serait nécessaire. Les individus devraient être notifiés de façon à pouvoir demander que leurs renseignements ne soient pas utilisés. Il y a une demi-douzaine de conditions que nous proposons au Parlement qui viendraient baliser l’exercice de cette nouvelle disposition.

Vous avez mentionné à plusieurs reprises que les lois qui encadrent les données personnelles au Canada sont désuètes. Pouvez-vous donner des exemples, des lacunes que vous considérez comme les plus criantes ?

Outre la notion de consentement elle-même, nous avons un régime qui est appliqué par des compagnies qui peuvent donner une interprétation du consentement qui est excessivement large.

Il n’y a pas de garde-fou de la part d’un organisme indépendant. Oui, les gens peuvent présenter une plainte soit chez moi, ou à la Commission d’accès à l’information du Québec pour ce qui est des compagnies de juridiction provinciale. Par contre, nos recommandations ne lient pas les compagnies. Elles ont donc une grande latitude d’utiliser le consentement comme elles le veulent, et tout ce qui peut arriver en bout de piste sont des recommandations de la part des autorités québécoises ou fédérales.

Ce qu’on recommande, et ce qui prendrait des changements législatifs, serait de nous donner des pouvoirs d’ordonnance envers les compagnies. Lorsque ce serait nécessaire, nous pourrions imposer des sanctions financières comme c’est le cas non seulement en Europe, mais aussi aux États-Unis.

Vous réclamez le droit d’aller même un peu plus loin que ça, c’est-à-dire de pouvoir effectuer des vérifications préventives auprès des compagnies ?

Oui. Présentement, je ne peux enquêter que si quelqu’un me fait une plainte, ou si j’ai des motifs de croire que la loi a été violée.

Dans un monde où les modèles d’affaires sont très peu transparents, et où l’utilisation qui est faite des renseignements est aussi peu transparente, je pense qu’il est important qu’il y ait un pouvoir de vérification en amont dans le régime législatif, pour s’assurer que les compagnies soient véritablement responsables dans leur gestion des données.

Sentez-vous que vous avez l’oreille du gouvernement ? Sentez-vous que les choses peuvent bouger ?

Un comité parlementaire fédéral a recommandé, il y a un mois environ, une réforme importante de la loi et reprenait certaines de mes recommandations et en ajoutait d’autres. C’est un signe de progrès.

Pour ce qui est du gouvernement, non, pas encore. Je ne peux pas dire avoir vu récemment de signe clair par rapport à son désir d’améliorer la situation, mais s’il y a une bonne chose, c’est que suite aux événements récents impliquant Facebook et Cambridge Analytica, il semble y avoir un peu plus d’ouverture. J’espère avoir des conversations avec le gouvernement là-dessus bientôt et j’espère qu’il montrera une plus grande volonté d’agir.