Le règlement général sur la protection des données régit la protection des données et de la vie privée dans l’Union européenne et l’Espace économique européen. Il traite également du transfert des données personnelles en dehors de l’UE et des zones de l’EEE.
Le RGPD offre aux citoyens de l’UE un niveau de protection et de contrôle de leurs renseignements personnels plus élevé que partout ailleurs dans le monde. Actuellement, il est largement considéré comme la référence absolue en matière de protection des données et, par conséquent, il influe sur la manière dont les autres régions et pays abordent la protection des données.
Quel est l'impact du RGPD sur les règles de protection des données dans le monde?
Le RGPD a déjà servi de modèle pour les lois nationales de protection des données au Chili, au Japon, au Brésil, en Corée du Sud, en Argentine et au Kenya. La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act – CCPA), qui est entrée en vigueur le 1er janvier 2020, présente également de nombreuses similitudes avec le RGPD.
Vous vous demandez à quelles lois nationales sur la protection de la vie privée votre organisation peut être soumise et comment elles se comparent au RGPD?
La loi POPI - Afrique du Sud
L’objectif de la loi sud-africaine sur la protection des renseignements personnels (Protection of Personal Information Act – souvent appelée loi POPI ou POPIA) est de « protéger les personnes contre les préjudices en protégeant leurs renseignements personnels. Pour empêcher que leur argent ne soit volé, que leur identité ne soit volée et, d’une manière générale, pour protéger leur vie privée, qui est un droit humain fondamental. »
La loi énonce huit principes que les responsables sud-africains du traitement des données doivent respecter pour traiter légalement les données personnelles des Sud-Africains. Le non-respect de ces principes peut entraîner des amendes allant jusqu’à 10 millions de rands et/ou une peine d’emprisonnement allant jusqu’à 10 ans pour une infraction plus grave.
Bien qu’elle soit antérieure au RGPD, la loi POPI est souvent appelée « le RGPD de l’Afrique du Sud », car elle présente un certain nombre de similitudes avec lui. Cela dit, il existe quelques différences notables. La première concerne les renseignements délicats de l’entreprise (la loi POPI les protège, mais pas le RGPD).
Le logiciel de gestion des parties prenantes Boréalis traite toutes les données comme sensibles et les protège selon les normes de confidentialité les plus strictes, ce qui le rend à la fois conforme au RGPD et à la POPI.
La deuxième différence est que dans le cadre de la POPI, les organisations ne sont pas tenues d’obtenir un consentement avant de traiter la plupart des types de données personnelles. Une troisième différence à signaler concerne les sanctions en cas de non-conformité. Les sanctions prévues par la POPI peuvent aller au-delà des amendes et entraîner des peines de prison pouvant atteindre 10 ans.
La loi sur la protection de la vie privée - Australie
La loi sur la protection de la vie privée de 1988 (Privacy Act 1988) protège la vie privée des personnes en réglementant la manière dont les agences gouvernementales et les organisations traitent les renseignements personnels en Australie. La loi couvre également des éléments tels que les rapports de crédit à la consommation, les numéros de dossiers fiscaux (TFN), ainsi que la santé et la recherche médicale.
À l’instar du RGPD et des lois sur la confidentialité des données d’autres pays, la loi sur la protection de la vie privée énonce un ensemble de principes (« Australian Privacy Principles » ou APP) que les organisations doivent respecter. Ces principes comprennent des règles sur la transparence, le marketing direct et la sécurité des renseignements personnels.
Bien que la loi australienne sur la protection de la vie privée soit similaire à bien des égards à l’esprit et à l’intention du RGPD, elle est très différente sur le fond. Par exemple, les deux lois exigent que les organisations possèdent une politique de confidentialité et obtiennent le consentement des personnes avant de collecter leurs renseignements. Toutefois, les exigences du RGPD sont plus étendues. Les APP reconnaissent à la fois le consentement implicite et le consentement explicite, alors que le RGDP ne reconnaît que ce dernier.
La sanction maximale pour non-respect de la loi sur la protection de la vie privée est actuellement de 2,1 millions de dollars australiens (ou 420 000 dollars australiens pour les particuliers). Le gouvernement australien a récemment cherché à augmenter cette peine maximale pour les manquements graves et/ou répétés à la plus grande des deux sommes suivantes :
- 10 millions de dollars australiens
- trois fois la valeur de tout avantage obtenu par l’utilisation abusive de renseignements
- 10 % du chiffre d’affaires annuel national de l’organisation en infraction
Cette augmentation permettrait d’aligner la loi sur la protection de la vie privée sur les sanctions appliquées dans le cadre d’autres lois similaires telles que le RGPD. Actuellement, les infractions graves au règlement général sur la protection des données peuvent entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise, le montant le plus élevé étant retenu.
La LPRPDE – Canada
La LPRPDE – ou Loi sur la protection des renseignements personnels et les documents électroniques – peut être décrite grossièrement comme la version canadienne du RGPD.
Une comparaison rapide des deux lois montre qu’elles sont toutes deux axées sur la responsabilité et la transparence. Mais leurs ressemblances s’arrêtent là.
Contrairement au RGPD, qui s’applique à toute organisation qui traite des données personnelles protégées, la LPRPDE régit principalement les industries du secteur privé qui mènent des activités commerciales. Elle s’applique également à certaines entités fédérales.
Plutôt que d’avoir une seule loi, le Canada a opté pour une approche à deux paliers, certaines provinces canadiennes ayant également adopté leurs propres lois sur la protection de la vie privée dans le secteur privé. Plusieurs de ces lois provinciales sont très semblables à la LPRPDE en ce qui concerne la façon dont les renseignements personnels sont recueillis, utilisés ou communiqués dans cette province. Au Québec, la loi 25 instaure des exigences strictes en matière de protection de la vie privée pour les entreprises au Québec.
Les organisations assujetties à une loi provinciale sur la protection de la vie privée essentiellement similaire sont généralement exemptées de la LPRPDE – à condition que ces renseignements personnels ne franchissent pas les frontières provinciales ou nationales dans le cadre d’activités commerciales. Dans le cas contraire, la LPRPDE prévaut.
Par rapport au RGPD de l’UE, la LPRPDE utilise une définition beaucoup plus large de ce qui est considéré comme des « activités commerciales ». Essentiellement, celle-ci englobe : « toute organisation qui collecte, utilise et vend des données ». Cela peut inclure les organismes sans but lucratif qui vendent, échangent ou louent des listes de membres, de donateurs ou d’autres listes de collecte de fonds. Une entreprise pourrait donc être conforme au RGPD, mais ne pas respecter les normes de la LPRPDE.
Alors que le RGPD est complètement transparent dans sa politique de confidentialité, la LPRPDE a opté pour une formulation un peu plus obscure : « Les personnes doivent être en mesure d’acquérir de l’information sur les politiques et les pratiques d’une organisation sans effort déraisonnable. »
De plus, contrairement au RGPD, qui exige que les organisations obtiennent le consentement explicite d’une personne, en vertu de la LPRPDE, les organisations n’ont besoin que d’un consentement implicite. Il convient de noter que les marchands tiers travaillant pour le compte d’une organisation doivent également obtenir ce consentement. Le non-respect de cette obligation peut entraîner des sanctions pour l’organisation contractante.
En vertu de la LPRPDE, les amendes pour non-conformité peuvent atteindre 100 000 $, bien qu’il soit probable que ce montant maximal relativement bas augmente avec le temps.
Les lois américaines sur la protection de la vie privée
Il n’existe pas de loi unique sur la protection des données aux États-Unis. Au lieu de cela, le pays s’appuie sur un méli-mélo de centaines de lois fédérales et étatiques pour protéger les données personnelles de ses citoyens.
La loi sur la Commission fédérale du commerce (Federal Trade Commission Act) applique les réglementations fédérales en matière de protection de la vie privée et des données, qui visent à protéger les consommateurs contre les pratiques déloyales ou trompeuses telles que la publicité mensongère, l’absence de protection adéquate des renseignements personnels ou le non-respect, par une organisation, de ses propres politiques de confidentialité officielles.
Les renseignements personnels sont également protégés au niveau fédéral par un certain nombre de lois sectorielles sur la protection des données. Deux exemples plus connus sont la loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act – GLBA), qui oblige les institutions financières à expliquer à leurs clients comment elles partagent et protègent leurs renseignements privés, et la loi sur la portabilité et la responsabilité des assurances-maladie de 1996 (Health Insurance Portability and Accountability Act – HIPAA), qui régit la confidentialité et la sécurité de certains renseignements relatifs à la santé.
De plus, d’autres lois fédérales portent sur des types de données spécifiques, comme la loi sur la protection de la vie privée du conducteur (Driver’s Privacy Protection Act), qui régit la confidentialité et la divulgation des renseignements personnels recueillis par le « Department of Motor Vehicles » (DMV – l’équivalent de la Société de l’assurance automobile du Québec) de chaque État. Une autre loi spécifique aux données est la loi sur la vie privée des enfants en ligne (Children’s Online Privacy Protection Rule – COPPA), qui interdit aux entreprises de collecter des renseignements sur les enfants de moins de 13 ans, en ligne et sur les appareils connectés.
À ces lois fédérales s’ajoute un certain nombre de lois étatiques, certaines étant plus strictes que d’autres. Les États du Massachusetts, de New York, de l’Illinois et de la Californie sont reconnus pour leur législation étendue et respectueuse de la vie privée.
Les organisations ont-elles toutes besoin d'une stratégie de conformité au RGPD?
De nombreuses entreprises situées en dehors de l’UE se demandent à juste titre si le RGPD s’applique à elles si elles se conforment aux lois sur la confidentialité des données de leur propre pays. La réponse courte est OUI.
Dans le monde globalisé d’aujourd’hui, non seulement de vastes quantités de données personnelles traversent les frontières, mais celles-ci sont parfois stockées sur des serveurs dans d’autres pays. Les entreprises doivent comprendre que le RGPD voyage avec les données. En d’autres termes, les règles de protection des données personnelles continuent de s’appliquer, quel que soit l’endroit où les données « atterrissent », même si elles se retrouvent dans un pays hors de l’UE.
Comment les organisations peuvent-elles démontrer qu'elles sont conformes au RGPD?
Quelles règles s'appliquent si mon organisation transfère des données en dehors de l'UE?
Disons que vous êtes une entreprise française qui cherche à se développer en Argentine – un « pays tiers » aux yeux du RGPD, car il se trouve en dehors de l’UE. Avant de transférer des données en dehors de l’UE, la première étape est de vérifier si l’Argentine a reçu une décision d’adéquation au RGPD. Une décision d’adéquation est délivrée lorsque la Commission européenne estime qu’un pays tiers – en l’occurrence l’Argentine – est en mesure d’assurer un niveau adéquat de protection des données. Si c’est le cas, votre entreprise peut transférer des données personnelles vers ce pays tiers sans autorisation spécifique.
Si le pays tiers n’a pas reçu de décision d’adéquation, vous pouvez toujours transférer des données, mais uniquement sous certaines conditions, et après avoir mis en place des mesures de protection spécifiques.
La question de la sécurité des données et de la confidentialité peut être décourageante pour toute organisation. La mise en place des bons outils et des politiques appropriées vous aidera à protéger votre entreprise.
Contactez-nous pour en savoir plus sur la manière dont nous protégeons vos données sensibles et celles de vos parties prenantes.
