Les entreprises canadiennes, même les PME qui n’exportent pas, sont affectées par plusieurs lois américaines et européennes liées aux données personnelles. Tour d’horizon.
Le strict minimum : la LPRPDE/PIPEDA et ses lois similaires au Canada
Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), aussi connue sous son acronyme anglais PIPEDA (pour Personal Information Protection and Electronic Documents Act), constitue le principal cadre légal. Adoptée en 2000 et modifiée en 2015, elle s’applique par défaut à toutes les entreprises canadiennes.
Au Québec, les entreprises sont plutôt soumises à une loi reconnue comme similaire : la Loi sur la protection des renseignements personnels dans le secteur privé.
Si votre entreprise est probablement conforme à la législation québécoise ou canadienne, elle doit cependant réaliser l’impact que peuvent avoir certaines législations étrangères.
Pour tout contact avec des Européens : le RGPD/GDPR
Le Règlement général sur la protection des données (RGPD), connu aussi sous le sigle anglais GDPR pour General Data Protection Rule, a été adopté par le Parlement européen en 2016. Il est entré en vigueur en mai 2018.
Votre entreprise y est soumise si elle collecte n’importe quelle donnée personnelle provenant d’un client, d’un prospect ou d’un simple visiteur sur le Web provenant d’un pays de l’Union européenne.
Même si les cadres législatifs canadiens et européens se ressemblent, il y a des différences entre la LPRPDE et le RGPD. En voici deux exemples :
- la notion de consentement est plus générale au Canada, alors que le RGPD précise plusieurs niveaux de consentement correspondant chacun à des utilisations spécifiques des données ;
- si la LPRPDE permet à tout individu de savoir de quelles informations une entreprise dispose sur lui, le RGPD va plus loin en obligeant l’entreprise à remettre ces données à l’individu à sa demande.
Les différences, parfois subtiles, entre les deux textes ont été analysées en détail ici.
Le RGPD prévoit des pénalités extrêmement lourdes. Elles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise !
La difficulté de se conformer simultanément aux deux législations a poussé plusieurs entreprises canadiennes à carrément interdire l’accès de leur site Web aux visiteurs européens.
Aux États-Unis et… partout dans le monde : Patriot Act, Freedom Act, CLOUD Act
Le Patriot Act est une loi antiterroriste votée par le Congrès américain en réaction aux attentats du 11 septembre 2001. Elle a été remplacée en 2015 par le Freedom Act qui, dans les faits, prolonge un grand nombre des dispositions du Patriot Act. Ces lois ont été complétées en 2018 par le CLOUD Act (pour Clarifying Lawful Overseas Use of Data Act).
L’esprit de ces lois est très différent des lois canadienne et européenne. Il vise d’abord à permettre aux services de renseignement américains d’obtenir des données sur des individus à des fins de défense et de protection contre le terrorisme.
Sur le territoire américain, le Freedom Act a limité la surveillance de l’Agence nationale de sécurité américaine (NSA) en l’obligeant à obtenir l’autorisation d’un tribunal. Mais cette limitation ne s’applique pas aux communications qui entrent et qui sortent des États-Unis, que la NSA peut continuer à surveiller.
Le CLOUD Act permet quant à lui au gouvernement américain d’accéder à toutes les données hébergées par des fournisseurs de services infonuagiques (Cloud) américains, et ce partout dans le monde. Donc, si vos données sont hébergées par une entreprise américaine, quel que soit l’endroit où ses serveurs sont situés, Washington s’arroge le droit d’y accéder dans certaines circonstances.
Si les données sont importantes pour votre entreprise et pour vos clients, vous auriez sans doute intérêt à vous faire expliquer l’impact des législations sur vos activités.
Forte d’une expérience de plus de 25 ans dans le monde des technologies de l’information, GTI Canada offre des services d’infogérance, de conseils en technologie et de cybersécurité conçus pour répondre aux besoins des PME.
Pour savoir comment nous pourrions vous aider, contactez-nous !
