Permettez-nous de vous présenter le dernier volet de notre série vidéo Vision – Regard éclairé sur les priorités d'affaires, dans laquelle nos avocats chevronnés offrent des analyses juridiques pertinentes sur des questions d'actualité importantes pour les Canadiens.

Dans le tout dernier épisode, le responsable canadien de nos équipes Impartition et Sourçage et technologie, l'associé Robert Percival, se penche sur le Règlement général sur la protection des données (RGPD), mis en Suvre par l'Union européenne en mai dernier.

Il explique ce que votre compagnie doit considérer si elle est touchée par le RGPD, mais ne s'y conforme pas encore, et discute des changements prochains à la réglementation canadienne en matière de protection des données.

Transcription

Mon entreprise doit-elle se préoccuper du RGPD?

En bref, oui. Les entreprises canadiennes doivent se soucier de l'application possible du Règlement général sur la protection des données (RGPD), mis en Suvre en mai 2018. De façon générale, le RGPD vise les entreprises de l'UE qui recueillent ou traitent des renseignements personnels, mais il a aussi une importante portée extraterritoriale et peut s'appliquer à des entreprises situées hors de l'UE, y compris à des entreprises canadiennes. Ainsi, les entreprises canadiennes doivent déterminer si le RGPD s'applique à leurs activités ou non et, le cas échéant, si leurs pratiques et procédures existantes en matière de protection des données sont conformes aux exigences du RGPD. Toute non-conformité nécessitera l'adoption et la mise en oeuvre de procédures et pratiques plus strictes afin de respecter les exigences plus rigoureuses du RGPD. Enfin, il faut mentionner que le fait de ne pas se conformer aux exigences du RGPD peut donner lieu à des pénalités importantes pouvant atteindre 30 M$. Il est donc important pour les entreprises canadiennes susceptibles d'être assujetties au RGPD de s'assurer de le respecter.

Quelle est la différence entre les nouvelles règles en matière de déclaration obligatoire d'atteinte à la vie privée et le RGPD?

Le gouvernement fédéral a récemment modifié la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour prévoir la déclaration obligatoire des atteintes aux particuliers et au commissaire fédéral à la protection de la vie privée lorsqu'il y a une atteinte touchant des renseignements personnels présentant un risque de préjudice grave à l'endroit des personnes visées. Ces modifications exigent aussi que les entreprises créent et tiennent un registre sur les atteintes à la protection des données touchant des renseignements personnels. En mettant en Suvre ces modifications, le gouvernement a voulu harmoniser le cadre législatif en matière de protection des données au Canada avec les nouvelles règles imposées par le RGPD, adopté par l'UE en mai 2018. Le RGPD prévoit que les entreprises sont également tenues de déclarer aux organismes de réglementation applicables et aux particuliers les atteintes à la protection des données qui présentent un risque de préjudice grave. Ainsi, les entreprises canadiennes assujetties à la LPRPDE ou au RGPD devraient mettre en Suvre et adopter sans tarder une stratégie pour se conformer tant aux nouvelles règles de déclaration obligatoire qu'à leur obligation de créer et de tenir un registre sur les atteintes.

De quelle façon les entreprises canadiennes devraient-elles aborder les récentes modifications aux lois canadiennes et européennes sur la protection de la vie privée?

Je pense que les entreprises canadiennes devraient s'inspirer du RGPD au moment de mettre à jour leurs pratiques et politiques en matière de protection des données. Bien que des différences notables demeurent entre les obligations prévues dans la loi canadienne et celles du RGPD, je crois qu'avec le temps, l'écart se rétrécira, surtout parce que le Canada souhaite conserver son statut d'adéquation aux termes du RGPD afin de maintenir le flux d'information entre l'UE et le Canada. Par conséquent, la plupart des entreprises canadiennes auraient intérêt à adopter des pratiques et des politiques sur la protection des données se rapprochant plus du RGPD que des normes moins exigeantes des lois canadiennes sur la protection de la vie privée.


About Norton Rose Fulbright Canada LLP

Norton Rose Fulbright is a global law firm. We provide the world's preeminent corporations and financial institutions with a full business law service. We have 3800 lawyers and other legal staff based in more than 50 cities across Europe, the United States, Canada, Latin America, Asia, Australia, Africa, the Middle East and Central Asia.

Recognized for our industry focus, we are strong across all the key industry sectors: financial institutions; energy; infrastructure, mining and commodities; transport; technology and innovation; and life sciences and healthcare.

Wherever we are, we operate in accordance with our global business principles of quality, unity and integrity. We aim to provide the highest possible standard of legal service in each of our offices and to maintain that level of quality at every point of contact.

For more information about Norton Rose Fulbright, see nortonrosefulbright.com/legal-notices.

Law around the world
nortonrosefulbright.com

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.