Nouveau règlement général sur la protection des données en Europe : êtes-vous prêts?

Robert Dorion : Associé, Gowling WLG Montréal

<00:00:08> Bon matin à vous tous. Merci d'être là ce matin en grand nombre pour un tôt vendredi matin. Pour la petite histoire, notre conférence est probablement l'une des dernières conférences dans cette salle, car nous allons débuter bientôt une rénovation totale de nos espaces et un aperçu du croquis m'indique que nos salles seront beaucoup plus fonctionnelles pour mieux vous recevoir. Mon nom est Robert Dorion. Je suis associé en droit des affaires au bureau de Montréal et responsable des relations avec notre bureau de Paris.

<00:00:41> À ce titre, je suis particulièrement heureux d'accueillir Danhoé Reddy-Girard, associé de notre bureau de Paris, venu spécialement pour cette conférence qu'il animera au côté de Naïm Antaki, associé à Montréal et chef de notre groupe de technologies. Pour votre information, notre bureau de Paris compte environ 50 avocats qui œuvrent dans à peu près tous les domaines du droit reliés au droit des affaires, au droit de l'entreprise, au droit social en Europe, notre droit de l'emploi et du travail ici, à la fiscalité, au financement et à l'immobilier.

<00:01:18> Je suis convaincu que je vous laisse entre de très bonnes mains pour évoquer ce matin le nouveau Règlement général de protection des données en Europe, autrement appelé RGPD - ne pas confondre avec notre RDPRN - qui entre en fonction dans deux mois et qui crée un cadre renforcé et harmonisé de protection des données. Toutes les entreprises qui traitent les données personnelles de citoyens européens sont concernées par ce règlement et doivent s'y conformer. Danhoé et Naïm vous donneront toutes les informations clés pour y parvenir. Bonne conférence à tous et je vais me défiler de façon à vous permettre d'avoir un meilleur accès à l'écran.

Naïm Antaki

<00:02:03> Merci. Merci beaucoup, Robert. Bonjour, tout le monde. Merci à beaucoup d'entre vous qui venez régulièrement à nos conférences et merci aussi à celles et ceux qui sont ici pour la première fois. Pour celles et ceux d'entre vous qui ne sont pas habitués à ce type de conférence, on apprécie beaucoup vos questions, vos interventions pendant les conférences. Le but de ces conférences, c'est vraiment de démystifier. On a tous des questions. Mon rôle, dans le cadre de cette conférence, va être de poser plusieurs questions, ce que j'appelle les questions stupides, que j'ai souvent à Danhoé.

<00:02:40> On a beaucoup de chance d'avoir Danhoé avec nous aujourd'hui, qui est un véritable expert dans le domaine. Je sais aussi qu'on a une grande variété de personnes dans la salle aujourd'hui. Donc, ce qu'on va faire, ça va être un survol. C'est un sujet qui est complexe, mais qu'on va essayer vraiment de démystifier avec un mode d'emploi à la fin pour faire un peu un rappel de tout ça. Mais si vous avez des questions particulières, par exemple vous êtes dans les médias ou bien, vous êtes parmi des institutions financières ou, encore, vous êtes la seule personne dans votre entreprise qui s'occupe de la vie privée ou, d'un autre côté, vous faites peut-être partie d'un grand ensemble d'avocates et d'avocats dans votre entreprise, vous avez toutes et tous des questions particulières, on va bien apprécier ces questions-là. Alors, je vais laisser la place à Danhoé pour la suite des choses.

Danhoé Reddy-Girard : Associé, Growling WLG Paris

<00:03:37> Bonjour à tous. Merci d'être venus. Le sujet d'aujourd'hui, c'est le nouveau Règlement européen, de l'Union européenne, sur le sujet de la protection des données personnelles. Je vais vous faire un aperçu rapide de ce dont on va parler dans la prochaine heure.

<00:03:54> Tout d'abord, on va parler du cadre légal. Je vais vous expliquer un peu qu'est-ce que c'est un règlement européen par rapport à une directive européenne. Un règlement, globalement, est d'application immédiate. Tandis qu'une directive enjoint les États membres de l'Union européenne à transposer la directive dans leur législation.

<00:04:14> On va parler des enjeux. Quels sont les objectifs du RGPD, protéger les personnes, mais également favoriser la libre circulation des données. Les sanctions. Vous en avez entendu beaucoup parler. On parle de jusqu'à 20 millions d'euros de sanctions ou 4 % du chiffre d'affaires. Il y a également des sanctions pénales puisque, ça, ce sont des sanctions administratives. Et une entreprise qui ne se conformerait pas au règlement et dont la faute entraînerait un préjudice pourrait également voir sa responsabilité civile engagée.

<00:04:47> La deuxième section. On va parler du champ d'application. Champ d'application matérielle, champ d'application territorial. Donc, par matériel, on va voir qu'est-ce que c'est qu'une notion de données à caractère personnel ou données personnelles, pour être plus court. Le traitement. Qu'est-ce que c'est qu'un responsable de traitement, Controller en anglais ou sous-traitant, Processor en anglais. Au champ d'application territorial, il y a deux facettes. Premièrement, ça s'applique à toutes les entreprises qui ont un établissement dans l'Union européenne. Un établissement, c'est globalement une filiale ou une succursale. Donc, ça, ce n'est pas nouveau. Ce qui est nouveau, c'est qu'il y a également un champ au niveau extra territorial, c'est un règlement qui s'applique également aux entreprises qui n'ont pas d'établissement dans l'Union européenne mais qui visent un marché européen, donc qui offrent leurs biens et services à des personnes situées dans l'Union européenne. Ou encore, qui suivent le comportement de personnes situées dans l'Union européenne. On va revenir sur ces notions-là dans le champ d'application territorial parce que c'est vrai que, du coup, ça s'applique à des entreprises canadiennes qui n'auraient pas de présence en Europe, mais qui s'adresseraient aux marchés européens.

<00:06:06> Enfin, la troisième section, on va parler des nouveaux droits, les droits des personnes concernées. Les personnes concernées, c'est une notion qui veut dire globalement les personnes physiques dont les informations personnelles sont traitées. On va parler des anciens droits puisque, en fait, depuis 1995, on a une directive européenne qui enjoignait chacun des États membres à avoir une législation. Donc, il y a déjà des droits qui existent déjà et qui sont juste repris avec quelques précisions dans le nouveau règlement. On va parler aussi de nouveaux droits, les droits consacrés. Donc, les nouveaux droits à l'oubli, à la notification de violation. On y viendra.

<00:06:52> La quatrième partie porte sur les obligations des responsables de traitement. On va d'abord faire un rappel des conditions que doit remplir un traitement pour être valable. Il y a six principes qui étaient là auparavant et qui sont toujours là, mais qu'il faut bien maîtriser. Un des six principes, c'est celui de la licéité, c'est-à-dire que chaque traitement doit avoir un fondement légal valable. Je sais qu'au Canada, souvent, on parle du consentement. Nous, le consentement, c'est un des fondements légaux possibles, mais en réalité c'est celui sur lequel on veut moins se baser, puisque le consentement est toujours révocable, il doit être précis. On va revenir sur les conditions du consentement. Donc, habituellement, on va plutôt se fonder sur l'exécution du contrat ou l'exécution de l'obligation légale ou encore les intérêts légitimes de l'entreprise, notamment pour la prospection. On va revenir sur ces différents fondements qui sont disponibles, lesquels sont applicables dans chaque cas.

<00:07:56> On va parler du nouveau septième principe, qui est celui de la responsabilité ou accountability, qui enjoint les entreprises - ça, c'est une nouveauté du RGPD - de mettre en place en interne les processus nécessaires pour s'assurer du respect du règlement, alors qu'auparavant les entreprises devaient faire une déclaration, demander une autorisation auprès d'une autorité. Dorénavant, elles doivent s'assurer d'avoir les process, d'avoir un registre et de tout faire et elles peuvent être contrôlées a posteriori par l'autorité plutôt que le contrôle a priori avec une demande d'autorisation, une déclaration.

<00:08:39> On va parler de privacy by design and default, c'est essentiellement cette notion que dès qu'on conçoit un nouveau traitement, il faut d'ores et déjà intégrer la protection des données dans le traitement. La tenue d'un registre des traitements, obligation nouvelle. Conduite d'analyse d'impact, c'est également nouveau. Désignation d'un délégué à la protection des données, ou en anglais DPO (Data Protection Officer), dans certains cas.

<00:09:07> Les contrats avec les sous-traitants. Alors, même si vous considérez que la RGPD ne s'applique pas à vous puisque vous n'avez ni établissement en Europe et vous ne vous adressez pas à un marché de consommateurs en Europe, vous pouvez être amenés, en tant qu'entreprise canadienne, à être sous-traitants d'une entreprise, sous-traitants au sens du règlement. On n'y reviendra parce qu'en droit civil, du moins en France, ça n'a pas la même notion, pas la même signification. Vous pouvez être amenés à être sous-traitants d'une entreprise européenne et, dans ce cadre, vouloir vous conformer, être capables de dire à l'entreprise européenne : voilà, nous, vous pouvez retenir nos services, on est capable de se conformer, de vous aider à vous conformer à vos obligations au titre du nouveau règlement.

<00:10:01> On va voir les contrats avec responsables, entre responsables conjoints. Les contrats avec les destinataires hors EEE. EEE, c'est Espace économique européen. Donc, c'est un peu plus large que l'Union européenne. Ça inclut trois autres pays, le Liechtenstein, Norvège et l'autre m'échappe. Enfin, la mise en œuvre du nouveau règlement avec un plan d'action en plusieurs étapes. Voilà.

Naïm Antaki

<00:10:35> Comme vous le voyez, c'est un sujet qui est assez complexe. On va avoir une heure, une heure et demie pour le faire. On pourrait en parler pendant une demi-journée facilement. La présentation, le support visuel, vous donne plus d'information. On va partager cette présentation visuelle après la présentation. Donc, sentez-vous bien à l'aise. Disons que vous n'aurez pas nécessairement besoin de prendre beaucoup de notes. Aussi, ça va donner la flexibilité à Danhoé de se concentrer sur certains points plus névralgiques. Peut-être certains aspects, on va les laisser pour les questions, si vous avez des questions plus particulières par rapport à tout ça. Voilà.

Danhoé Reddy-Girard

<00:11:21> Premier point, le cadre légal. C'est un règlement qui a été passé en 2016 au niveau européen et qui s'appliquera à compter du 25 mai 2018. Dans l'ordre législatif européen, il y a globalement des directives ou des règlements. Après, il y a des règlements <inaudible>. Il n'y a pas de loi. La différence entre directives et règlements, comme je vous l'ai dit, une directive, il faut la transposer, le règlement, il s'applique à tout le monde dans l'Union européenne, tous les pays de l'Union européenne. Tandis que les pays de l'Espace économique européen - Norvège, Islande et Liechtenstein - doivent, eux, passer une législation qui reprend le contenu du règlement.

<00:11:58> Le règlement, en l'espèce, il laisse quand même certaines sphères à la… Il laisse aux États membres la possibilité d'apporter leur grain de sel sur certains aspects : dans quelles conditions est-ce qu'on pourrait en plus nommer un DPD, dans quelles conditions les données sur les infractions pénales sont traitées, également en matière de santé et sécurité au travail et le domaine médical. Donc, il y a certains aspects où chaque pays peut apporter sa touche au règlement.

<00:12:37> En ce qui concerne la France, on a une loi, la Loi informatique et Libertés du 6 janvier 1978, qui transposait la Directive 95. La Directive 1995, c'est la Directive sur la protection des données, qui est remplacée par le Règlement. Donc, cette loi-là va être modifiée. Le législateur avait deux possibilités. Enfin, normalement, le législateur aurait dû supprimer toutes les parties qui sont couvertes par le règlement. Là, il y a une petite controverse en France puisque le législateur a décidé de paraphraser le règlement, pas nécessairement en utilisant exactement les mêmes mots. Mais bon, on devrait pouvoir s'en sortir.

<00:13:27> Une des spécificités françaises, c'est également dans les informations qui sont données aux personnes concernées sur les traitements, il y a également une indication avec la Loi pour une République numérique, d'indiquer que les personnes ont la possibilité d'organiser le sort des données personnelles après leur mort. Donc, c'est une information donnée en plus de celle prévue par le règlement. Donc, c'est un exemple de spécificité française.

<00:13:56> Notre loi française sera également modifiée pour intégrer une nouvelle directive qui porte sur les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquête et de poursuites en matière d'exécution de sanctions pénales. Donc, vous savez, on y reviendra, sur le champ matériel du règlement. Le règlement ne s'applique pas à ce qui est couvert parce cette directive, c'est-à-dire les données à caractère personnel en matière pénale par des autorités.

Naïm Antaki

<00:14:31> Danhoé, si tu me permets, parce qu'évidemment on a entendu beaucoup parler dans les médias, ici, du règlement et puis il y a toujours une sorte de flou. On se dit, d'accord. D'un côté, est-ce que ça s'applique à nous ou pas? Tu viens nous parler de ce règlement, puis tu viens nous parler de spécificité. Ce règlement, tu nous as dit, est un règlement d'application immédiate, donc dans quelques mois, le 25 mai. L'idée pour les entreprises, c'est qu'on veut être capable de voir un processus si possible à l'interne, qui nous permet de rencontrer les critères de toutes les juridictions, dans la mesure du possible. Est-ce que ce règlement est donc le point de base qu'on devrait utiliser pour, justement, savoir comment se conformer en Europe?

Danhoé Reddy-Girard

<00:15:26> Tout à fait. Tout à fait. Le règlement, disons… On peut dire que 97 % des règles sont dans le règlement. Il peut y avoir des spécificités d'un pays à l'autre, qui vont être mineures et qui vont plutôt toucher des secteurs comme celui de la santé. Une société B2B, a priori, il n'y a rien de vraiment de nouveau dans la législation de chaque pays.

Naïm Antaki

<00:15:54> Parfait. Tu as parlé de médical, de santé. Donc, il y a certains domaines plus particuliers. C'est un peu la même chose, comme vous le savez, au Canada. Dans le domaine de la santé ou dans d'autres domaines, il y a des règles plus particulières qui s'appliquent. Pour le reste de la présentation, on peut le prendre comme étant la base. Si on arrive déjà à 97 % de la conformité, on aura déjà fait une bonne partie du chemin.

Danhoé Reddy-Girard

<00:16:20> Oui. Alors, toujours sur le cadre légal, pour mettre en relief le règlement sur la protection des données, il y a un nouveau règlement, Vie privée et communications électroniques, qui remplace une directive du même nom qui, elle, avait un champ d'application assez limité, à savoir la communication par courriel à des prospects, qui disait en gros - j'ai repris ici les règles actuelles - que lorsqu'on s'adressait à des prospects, soit on avait leur opt-in dès le départ, soit, ils avaient acheté des biens et services similaires auprès de la même société et puis ils étaient avec possibilité d'opt-out à ce moment-là. Je crois que ça rejoint un peu votre législation antispam.

Naïm Antaki

<00:17:11> Oui. Exactement. Donc, je pense qu'on va se concentrer dans la présentation d'aujourd'hui sur le Règlement pour les données personnelles qui, de mon point de vue, du Canada, du Québec, est, disons, plus haut, un meilleur cadre. Tu parlais de CASL, cette loi qui est une loi corollaire. J'ai impression que vous êtes en train de nous rejoindre par rapport au opt-in dans certains cas. Voilà.

Danhoé Reddy-Girard

<00:17:46> Ce nouveau règlement est également un règlement européen, mais qui n'est pas encore définitif et qui, normalement, devait entrer en vigueur en même temps que le RGPD. Donc, on a vu le cadre idéal.

<00:18:00> Les enjeux du RGPD. Il y a eu beaucoup d'importance médiatique apportée au RGPD pour plusieurs raisons. Il y a une partie politique, les politiciens qui veulent dire aux citoyens européens : on est là, on protège vos droits. C'est bien l'Europe. <rire> On regarde en Russie et en Chine, ce n'est pas pareil. Voilà. La France aussi, on mousse un peu le fait que la Loi informatique et Libertés fête ses 40 ans cette année. Il y a une démarche, enfin il y a un objectif éthique, bien entendu. Il y a également un objectif économique. Les données ont une valeur. Un des objectifs, c'est non seulement protéger les gens, mais également favoriser la libre circulation en Europe de données, donner un cadre commun à tout ça. Certaines entreprises peuvent également mettre en valeur un positionnement commercial en se présentant comme défenseurs des libertés individuelles, un enjeu réputationnel également pour beaucoup de sociétés.

Naïm Antaki

<00:19:10> Pour ces enjeux, on parle ici d'avantages parce que, souvent, quand on parle de données personnelles, on y pense beaucoup d'un point de vue strictement conformité. J'ai l'impression à l'intérieur des entreprises, mais vous vous y connaissez beaucoup plus que moi, qu'est-ce qu'on est obligé de faire pour pouvoir faire des affaires, ce qui pour moi n'est pas toujours la bonne manière d'approcher toute cette question-là. Je pense qu'il y a un avantage à avoir les meilleures pratiques puis aller au-delà parfois de la stricte conformité pour aller chercher des nouveaux clients, pour aller chercher peut-être des profits dans des régions différentes de celles où on est actuellement.

<00:19:59> Quand je regardais le règlement au Canada pour l'avis de notification, Data Breach Notifications, celles et ceux qui l'avaient lu aussi, il y a une partie qui parle d'avantages économiques. Et dans les avantages économiques, on fait une référence spécifique au Règlement européen. Parce que le but est d'essayer d'harmoniser, c'est-à-dire que le législateur au Canada, puis je pense aussi en Europe, tout le monde comprend que les entreprises sont dans des situations assez particulières où il faut essayer d'harmoniser le tout. Moi, j'ai beaucoup aimé la partie libre circulation en Europe pour essayer d'harmoniser. J'aime aussi l'approche canadienne qui est d'être au courant de ce qui se passe et puis d'essayer justement d'harmoniser. Alors, je pense que c'est quelque chose qui est utile de toute façon pour le Canada, parce que ça peut être utile. Donc, il y a des avantages par rapport à tout ça.

Danhoé Reddy-Girard

<00:21:00> Vu qu'on est encore un peu dans l'introduction, on a mis quelques images de publicité qui pouvaient appeler à s'interroger sur ce que ça posait comme question, surtout par rapport aux fondements juridiques, du traitement qui est fait de données à caractère personnel, déjà <inaudible> de caractère personnel, pseudonymisation, anonymisation, on y reviendra. Donc, on explique ici aux 53 personnes qui ont vu tel film, chaque jour, au cours des 18 derniers jours, qu'est-ce qui se passe avec vous? <rire> Chères 3 749 personnes qui ont visionné : C'est la fin du monde tel que nous le connaissons : le jour du vote du Brexit, tenez bon. Chère personne qui a joué Sorry 42 fois le jour de la Saint-Valentin, qu'avez-vous fait? Enfin, Chère personne qui a fait une playlist appelée One Night Stand with Jeb Bush like He's a Bond Girl in a European Casino, nous avons tellement de questions. Nous aussi, nous avons beaucoup de questions. <rire> Voilà.

<00:22:26> Pour finir ces enjeux, effectivement, comme ils sont pris à l'Article premier, il y a vraiment deux objectifs : protéger les libertés et la libre circulation des données, et surtout ne pas faire d'obstacles au commerce pour des motifs liés à la protection des données. Cadre commun et plus de commerce.

<00:22:50> Les sanctions. Elles sont nombreuses. Déjà, elles sont alourdies. Actuellement, en France, jusqu'à l'année dernière, le maximum des sanctions administratives était 150 000 euros, plafonné à 300 000 euros. C'est passé à 3 millions l'année dernière, avec une nouvelle loi. Et ce que dit le règlement, c'est que chaque pays doit passer une loi qui permet de sanctionner jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entreprise en cas de violation du règlement. Donc, c'est à chaque pays de passer les lois qu'il faut pour permettre à ses autorités de contrôler et de sanctionner.

Naïm Antaki

<00:23:38> Et si tu me permets, par rapport à ça, très souvent, à l'interne, que vous soyez en stratégie ou que vous soyez au juridique ou autrement, l'impact réel sur le bottom line est important. Donc, quand je lis 4 % du chiffre d'affaires annuel mondial en fonction du degré de sévérité des sanctions, il y a un impact qui est réel. Donc, des fois, si vous avez besoin de convaincre vos collègues que c'est peut-être quelque chose d'important, ça peut aider. On n'est pas encore à ce point-là au Canada par rapport aux data breaches, aux notifications. On parle plutôt de 100 000 $ par incident, ce qui est déjà beaucoup, mais pas nécessairement la même chose. Donc, voilà.

Danhoé Reddy-Girard

<00:24:32> Oui, bien entendu, les sanctions doivent être proportionnelles à la gravité de la violation. Donc, les grandes entreprises, le big data, sont plus exposées.

Naïm Antaki

<00:24:43> On prend des questions ou... ?

Danhoé Reddy-Girard

<00:24:45> Oui, bien sûr.

Audience

<00:24:45> Sur la question justement du calcul de l'assiette pour le <inaudible> de la part mondiale, considérant que les clients d'ici, les entreprises canadiennes, sont surtout <inaudible> leurs filiales, comment calcule-t-on ce chiffre d'affaires, là? Est-ce qu'il n'y aurait pas une variante du point de vue d'où provient la fraude? Est-ce que c'est une faute systémique, est-ce que c'est quelque chose qui est opérationnel ou très local? Et dans quelle mesure, justement, <inaudible> la filiale à celle de la maison mère<inaudible>.

Naïm Antaki

<00:25:22> C'est une excellente question. Justement, j'avais une question similaire pour Danhoé hier quand on se préparait. Donc, c'est pour ça qu'on apprécie beaucoup ces questions. Merci. C'est François, c'est ça? Merci beaucoup.

Danhoé Reddy-Girard

<00:25:35> Alors, le règlement parle de groupes d'entreprises à certains endroits, mais pas dans l'article qui concerne les sanctions administratives. On parle uniquement de l'entreprise. Donc, il faut conclure… A priori, on parle uniquement de l'entreprise et pas du groupe de sociétés. Après, évidemment, si on a plusieurs sociétés du même groupe qui participent à la même violation, bien, ça peut <inaudible>, voilà. On peut sanctionner les différentes entreprises qui ont participé à la violation.

Naïm Antaki

<00:26:15> Puis on y reviendra plus tard, parce qu'une de mes premières réactions, c'était : est-ce qu'on pourrait de cette manière-là structurer les entreprises ou les groupes pour justement - donc, donc on pense aux mêmes choses -  disons, essayer de limiter le risque. C'est quelque chose qui, malheureusement, va être très difficile à faire. On va en reparler un peu plus tard quand on va parler de l'application de la loi d'un point de vue matériel.

Audience

<00:26:44> <inaudible> sur la notion de responsable de traitement et de sous-traitant. Donc, comment on détermine <inaudible>.

Danhoé Reddy-Girard

<00:26:53> Oui. Ça, on y reviendra dans le champ d'application matériel. Globalement, la violation peut se produire lorsqu'on a des salariés, des sous-traitants - enfin, des sous-traitants - des fournisseurs, des clients. Sauf à mettre tous les employés dans une même société, c'est difficile de créer une filiale pour contenir le risque parce que ça impliquerait de transférer tous les clients et tous les employés à la filiale. Donc, on ne va nulle part, ça ne fonctionne pas.

<00:27:34> Donc, ça, c'est pour les sanctions administratives. Il y a également les sanctions pénales. Le règlement dit simplement que les États membres sont libres d'introduire dans leur Code pénal des délits, des sanctions pénales en cas de violation du règlement. Alors, la France, sous l'empire du régime actuel issu de 1995, il est déjà prévu qu'il y a des sanctions qui peuvent aller jusqu'à cinq ans d'emprisonnement et 300 000 euros multipliés par cinq pour les personnes morales en cas de violation de la législation actuelle en matière de protection des données. Il y a également des sanctions supplémentaires pour violation de notre loi antispam jusqu'à 3 750 euros par communication. Communication qui serait faite en violation de notre Code des postes et des communications mais qui reprend les règles sur la communication par voie électronique de messages de prospection.

<00:28:47> Et finalement, troisième ordre de sanctions, les sanctions civiles puisque c'est un principe général du droit qui est reconnu par le règlement. Mais comme vous savez tous, pour les avocats d'entre nous, une faute qui a pour cause un préjudice entraîne réparation au civil.

Naïm Antaki

<00:29:09> Il y a évidemment la même chose au Canada, au Québec. Très souvent, on y pense comme étant quelque chose de théorique, mais ce n'est pas théorique du tout. Vous le savez, au Canada et ailleurs, il y a des chefs d'entreprises, des CEO, des CFO, CIO, qui ont soit perdu leurs postes ou encore des conseils d'administration qui ont eu des poursuites qui ont eu des impacts très importants. Donc, ça fait partie un peu d'un ensemble des différentes sanctions qui pourraient être applicables et qui sont importantes pour les entreprises.

Danhoé Reddy-Girard

<00:29:42> Je ne l'ai pas mentionné, mais jusqu'à maintenant, c'est un petit peu dans le cadre en haut à droite, sous le régime actuel, la législation en matière de protection des données s'applique seulement aux responsables de traitement, aux controllers. Ceux-ci doivent contractualiser certains engagements avec les sous-traitants, mais les sous-traitants eux-mêmes ne sont pas assujettis à la loi actuelle. Une nouveauté du règlement, on va le voir, les sous-traitants ont également des obligations. Dorénavant, les sous-traitants pourront également s'exposer aux différentes sanctions.

<00:30:24> Champ d'application du nouveau règlement. Matériel et territorial. Matériel, en premier. Le règlement s'applique au traitement de données à caractère personnel automatisé en tout ou en partie ainsi qu'au traitement non automatisé de données à caractère personnel <inaudible> appelées à figurer dans un fichier, automatisé ou non. Qu'est-ce que c'est qu'un traitement? Un traitement, c'est autant la collecte, la conservation, le transfert et même l'effacement d'une donnée est un traitement. Donc, c'est très large.

Naïm Antaki

<00:31:01> Et cette largesse du traitement ou cette définition très large du traitement, on n'a peut-être pas autant de mots dans notre loi, mais ça couvre sensiblement le même genre de choses.

Danhoé Reddy-Girard

<00:31:13> C'est un traitement qui porte sur une donnée à caractère personnel qui est définie comme étant une information se rapportant à une personne physique identifiée ou identifiable. Alors, une personne physique identifiable, c'est une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, un nom, un numéro de téléphone, une adresse IP. Alors, comment est-ce qu'on fait pour déterminer si une personne physique est identifiable? Ce que dit le préambule du règlement, c'est qu'il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés. En considération de l'ensemble de facteurs objectifs tels que : coût, temps, technologies, au moment du traitement, technologies telles qu'elles peuvent évoluer dans le futur.

Naïm Antaki

<00:32:06> Oui. Juste par rapport à ça, il y a des questions souvent qui me sont posées disant : c'est très bien, mais moi, mes informations sont cryptées ou bien s'il y a des… le nom de la personne, etc., c'est juste qu'à quel point est-ce qu'il y a des exemples concrets, peut-être dans la jurisprudence ou autrement, qui permettent d'identifier ce genre de choses-là.

Danhoé Reddy-Girard

<00:32:26> Tout à fait. Naïm, tu connais bien la présentation.

<rires>

Naïm Antaki

<00:32:29> Heureusement, d'ailleurs, n'est-ce pas?

Danhoé Reddy-Girard

<00:32:38> Alors, il y a un arrêt du Conseil d'État. En France, vous avez la Cour de cassation qui est la Cour suprême pour tout ce qui est civil et pénal. Et vous avez le Conseil d'État qui est dans l'ordre administratif notre cour suprême. Donc, une décision du Conseil d'État du 8 février 2007 concernait l'entreprise JC Decaux qui avait installé à la Défense - la Défense, c'est un quartier d'affaires juste à côté de Paris où il y a de grands sièges de groupes français comme Total, Société générale (vous avez une photo) - des panneaux publicitaires. Dans les panneaux, il y avait des détecteurs qui, lorsqu'une personne passait avec son téléphone mobile, détectaient l'adresse MAC du téléphone et JC Decaux utilisait cette information-là pour mesurer l'affluence pour pouvoir aller voir leurs clients pour dire : bien, voilà, cet emplacement-là vaut tant parce qu'il y a énormément de personnes qui passent devant. Et si je comprends bien, eux, ils avaient considéré que ce n'était pas des données à caractère personnel et ils avaient mis en avant le fait qu'une fois qu'ils avaient collecté les données, ils les tronquaient, ils appliquaient des méthodes de salage et de hachage à clé. Donc, salage, ils ajoutaient des données sans signification à la liste pour mélanger. Une personne qui voulait s'approvisionner pourrait difficilement les traiter puisqu'elles ont été mélangées avec des informations sans signification. Et elles auraient été aussi hachées, transformées. Donc, ils disaient : bien, voilà, nous, si un tiers venait à vouloir s'approprier de ces données, il ne pourrait pas identifier les personnes puisqu'on les a transformées.

<00:34:30> Pour autant, le Conseil d'État a retenu que : certes, mais vous, vous avez collecté ces données-là et ces données-là, quand vous les avez collectées, vous étiez en mesure de rapprocher l'adresse MAC d'un téléphone avec l'identité d'une personne puisque les moyens technologiques sont là pour faire ce rapprochement. Donc, vous auriez dû faire ce que vous auriez dû faire en termes d'information aux gens, etc.

Naïm Antaki

<00:35:02> Je m'excuse, parce que pour moi, ça a été quelque chose qui m'a un peu frappé. Vous entendez peut-être parler de votre groupe de TI. Salage et hachage, c'est la première fois que j'en entendais parler. J'entends surtout parler de salting puis de hasching. Pour le hasching, notamment dans le cadre de blockchain et autrement.

<00:35:23> Ce qui est important, c'est au niveau de la collecte. Indépendamment de ce que vous faites pour anonymiser ou pseudonymiser les informations plus tard, en termes de troncage, de salting, de hasching. Aussi, au niveau de la collecte, ce sont des renseignements personnels ou des données personnelles selon le règlement, le règlement s'applique. Donc, il faut justement peut-être garder ça en tête quand vous avez vos discussions avec votre groupe de TI par rapport à ce genre de choses-là.

Danhoé Reddy-Girard

<00:35:52> Donc, adresses Mac, ce sont des données personnelles. Il y a d'autres exemples dans la jurisprudence qui disent que les adresses IP statiques, dynamiques, ce sont des données à caractère personnel puisqu'on peut, grâce à ces informations-là, identifier la personne qui est derrière.

<00:36:14> Donc, nos recommandations, c'est, à défaut, si une donnée n'est pas entièrement anonymisée, elle doit être considérée comme rendant la personne identifiable. On fait une distinction entre données pseudonymisées et anonymisées. Une donnée anonymisée n'est pas une donnée à caractère personnel. Une donnée pseudonymisée est une donnée à caractère personnel.

Naïm Antaki

<00:36:41> Si tu me permets, encore là je vois l'évolution rapide des technologies. Très souvent, on… D'un point de vue stratégique, d'accord, vous obtenez de l'information. Des fois, cette information va être simplement du texte. D'autres fois peut-être, ça va être peut-être des éléments biométriques qui parlent de l'empreinte de la voix, etc. Ensuite, à l'interne, on essaie de voir qu'est-ce qu'on peut faire avec tout ça, quelles sont les informations, peut-être la stratégie d'affaires qu'on peut retirer de tout ceci. Si tu peux nous parler peut-être de cette question, de la recommandation par rapport à l'évolution rapide des technologies dans ce cadre.

Danhoé Reddy-Girard

<00:37:22> Oui. En fait, c'est qu'on a vu qu'une donnée rendait une personne identifiable en tenant compte de ce que ça prenait en temps, en coûts, aux vues <inaudible> une vie actuelle et future. Comme les technologies sont toujours appelées à évoluer, c'est difficile, enfin c'est un peu risqué de prendre parti que la donnée qui aujourd'hui est très difficilement déchiffrable ne le sera pas dans cinq ans.

Audience

<00:37:57> <inaudible>. Au point de vu commercial, on fait des courriels toujours, nous, avec des personnes en Angleterre, en France. Tout ça, parce que c'est du business, du jour à jour, des courriels. Ça fait aussi partie <inaudible>.

Danhoé Reddy-Girard

<00:38:17> Alors, lorsqu'on s'adresse soit à des personnes physiques qui agissent pour leur propre compte, donc des consommateurs, ou qu'on s'adresse à des personnes physiques qui ont un rôle de représenter une entreprise, on s'adresse quand même à des personnes physiques. Après, il y a différents… je crois que c'est peut-être… vous avez la même chose avec votre loi antispam, mais… Quand on s'adresse à des consommateurs, il faut leur opt-in, à moins qu'ils aient acheté auparavant des biens et services similaires auprès de la même entreprise.

<00:38:54> Lorsqu'on s'adresse à des professionnels ou des gens qui représentent une entreprise, on n'a pas besoin de leur opt-in, mais ils ont leur opt-out. Et <inaudible> le fondement juridique ici, ce sont les intérêts légitimes et non le consentement. On y reviendra. Donc, c'est possible de s'adresser, il y a un fondement. Ce n'est pas parce qu'on s'adresse à une personne physique qui appartient à une entreprise qu'elle a zéro droit. Il faut quand même l'informer qu'il y a une possibilité d'opt-out.

Naïm Antaki

<00:39:26> C'est ça. Puis au Canada, je pense que c'est quelque chose d'assez similaire, c'est-à-dire que du moment qu'il y a des renseignements personnels, indépendamment dans quel format, que ce soit dans un email, que ça vienne d'une manière ou d'une autre, la loi va s'appliquer. Ensuite, la question devient : comment est-ce qu'on les protège? Est-ce qu'on a eu un consentement par rapport à ça? Souvent, il y aurait eu des politiques de vie privée soit au sein de l'entreprise par rapport aux employés ou bien avec les clients ou les clients prospectifs. Et puis nous, on se base surtout sur le consentement.

<00:40:01> Évidemment, on va parler du terme technique de licéité plus tard, mais… C'est ça. Donc ça, c'est un premier cadre. Ensuite, le deuxième cadre d'un point de vue de Antispam Law, c'est plus particulièrement quand on veut faire des messages que je vais appeler de développement d'affaires. Dans ce cadre-là, il y a des règles additionnelles qui s'appliquent autant au Canada qu'en Europe. Mais voilà. Donc, effectivement, ça s'applique même dans ce cadre d'emails.

Danhoé Reddy-Girard

<00:40:36> Oui. C'est une question un peu plus compliquée, le droit applicable, ici, parce que si vous ne vous adressez pas à des consommateurs… Enfin, par rapport aux… on y reviendra, au champ territorial.

Naïm Antaki

<00:40:45> Oui, c'est ça. Exactement.

Danhoé Reddy-Girard

<00:40:49> Toujours sur le champ d'application matériel. Donc, on a dit déjà que tous les traitements de données à caractère personnel, on a dit que c'était un traitement de données à caractère personnel parce que c'est identifiable. Évidemment, ça ne s'applique pas à tous les traitements de données à caractère personnel. Les traitements par une personne physique dans un cadre strictement personnel ou domestique, c'est au-dessus de la loi. Et comme on l'a dit tout à l'heure, le traitement par les autorités compétentes à des fins de prévention et de détection des infractions pénales, ça, ça sort évidemment du nouveau règlement. C'est l'autre directive.

Naïm Antaki

<00:41:26> Dont tu avais parlé au début.

Danhoé Reddy-Girard

<00:41:29> Donc, champ d'application matériel. Maintenant, champ d'application territorial. Alors, le règlement s'applique, d'une part, aux activités de toute entreprise, toute organisation responsable de traitement ou sous-traitant qui a un établissement sur le territoire de l'Union européenne. Premier aspect. Jusque-là, tout va bien. Deuxième aspect. Ça s'applique également aux responsables de traitement et sous-traitants qui n'ont pas d'établissement dans l'Union européenne, mais qui font des traitements et c'est uniquement ces traitements-là, des traitements sur des personnes concernées qui se trouvent sur le territoire de l'Union et qui sont liés soit à l'offre de biens et services à ces personnes, soit au suivi de leur comportement.

Naïm Antaki

<00:42:29> Je vais poser... Je m'excuse, j'ai plein de questions. Quand on dit qu'un paiement soit exigé ou non desdites personnes, c'est-à-dire que si veux faire du marketing, que ce soit un concours ou bien je veux offrir quelque chose, on Europe ça s'applique même si on parle de biens et services qui sont sans prix, c'est ça? <inaudible> gratuitement? Parce que ça, c'est quelque chose qui est aussi… Souvent, les gens à l'interne, ne vont pas nécessairement penser à ça. Ils vont dire : OK, est-ce que j'ai eu un contrat?, est-ce qu'il y a quelque chose qui est entré dans mes revenus? Puis du point de vue marketing, disons other great minds think about the marketing part, n'est-ce pas? Donc c'est intéressant, de cet aspect-là.

Danhoé Reddy-Girard

<00:43:23> Oui.

Audience

<00:43:24> <inaudible> On est une compagnie canadienne. On a développé un site Web et une implication mobile pour nos clients <inaudible> au Canada. On s'entend qu'un Français peut aller sur notre site Web. À quel point ça s'applique si on ne le liste pas, mais c'est un site de nouvelles, c'est un site qui est accessible partout dans le monde ou encore là, si c'est nos clients canadiens qui sont pour une semaine en Europe?

Naïm Antaki

<00:43:54> Très bonne question.

Danhoé Reddy-Girard

<00:43:57> Sur le site Web, on n'y viendra parce qu'il y a des dispositions spécifiques là dessus dans le préambule de règlement. Sur la deuxième question qui était : les citoyens, alors, nous, alors? Ça ne s'applique pas aux citoyens. Ça s'applique aux personnes qui se trouvent en Europe. Alors, je sais que le projet de loi français parle de résident. Le mot résident sera, a priori… A priori, les gens qui sont en Europe sont des résidents de l'Europe. Après, oui, on peut penser à un touriste qui <inaudible> est en Europe. Il se trouve sur le territoire européen, donc a priori la loi s'applique. Donc, ça, c'est pour la deuxième question. La première, sur le site Web. J'y reviendrai plus tard parce que ce sera plus… On y arrive dans quatre minutes, environ.

<00:44:45> Donc, pour l'instant, je vais rester sur la première branche, c'est-à-dire établissement dans l'Union européenne par une entreprise qui est responsable de traitement ou sous-traitant. Donc, qu'est-ce qu'un établissement. Un établissement, ça suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale, d'une filiale, n'est pas déterminante à cet égard. Donc, succursales comprises pour les banques, ça… pour le cabinet d'avocats <rire>, c'est… Voilà, c'est un établissement.

<00:45:24> Qu'est-ce qu'un responsable de traitement? Vous avez posé la question tout à l'heure. Responsable de traitement ou sous-traitant, la différence. Alors, un responsable de traitement, c'est la personne qui détermine les finalités et les moyens de traitement. Alors, vous avez des salariés. Vous déterminez qu'est-ce que vous allez faire, comment vous les gérer <inaudible>. Vous êtes habituellement… Toute entreprise qui a des clients, qui contracte avec des clients, est responsable de traitement avec ses clients. Toutes les entreprises qui ont des salariés sont responsables de traitement concernant les informations de ces salariés. Même chose avec les fournisseurs. Donc, disons que responsable de traitement, c'est assez simple comme notion.

Naïm Antaki

<00:46:11> Excuse-moi encore avec mes nombreuses questions. Le concept de base au Canada, c'est de dire que si je recueille des informations, j'en suis responsable. Puis, en fait, dans la loi, ça le dit clairement. Bon, il y a certaines choses par rapport… Il y a des règles spécifiques pour les banques, notamment, mais plus généralement que… Ce n'est pas simplement parce que je te transfère de l'information à toi qu'automatiquement je n'ai plus d'obligation. Généralement, est-ce que le concept est le même en Europe?

Danhoé Reddy-Girard

<00:46:47> Oui, tout à fait. Le responsable de traitement est responsable. Il peut sous-traiter. Et si jamais il y a des moments dans lesquels il est impliqué qui sont un petit peu équivoques, mais, habituellement, il serait impliqué dans les traitements qu'il sous-traite et, donc, il peut voir sa responsabilité engagée.

Naïm Antaki

<00:47:14> Donc, ton 4 %, ton 20 millions d'euros, le 4 % du chiffre mondial s'applique même si je décide de le transférer à quelqu'un d'autre.

Danhoé Reddy-Girard

<00:47:19> Oui. Un sous-traitant, c'est la personne qui traite des données à caractère personnel pour le compte du responsable du traitement. Donc, le mot en anglais, c'est Processor. En France, on a une loi du 31 décembre 1975 sur la sous-traitance qui définit le sous-traitant comme lorsque vous avez deux contrats de prestation de services et il y en a un deuxième qui fait une prestation de services, il y a une action directe au profit du sous-traitant contre le maître d'ouvrage. Le mot sous-traitant en français porte à confusion dans ce sens.

<00:48:02> Ici, on entend sous-traitant au sens de Processor, au sens du règlement, c'est-à-dire que c'est une personne qui ne détermine pas quels sont les finalités et les moyens du traitement, mais simplement exécute le traitement sous les instructions du responsable de traitement. Donc, une entreprise qui offre des services de serveurs informatiques, de hosting de sites Web, elle est sous-traitante puisque, certes, elle a dans ses serveurs des informations personnelles qui lui sont transmises par ses clients, mais elle ne fait qu'exécuter les ordres du client.

<00:48:53> En fait, les entreprises qui sont sous-traitantes, habituellement, ont deux casquettes. Elles sont également responsables de traitement en ce qui concerne leurs salariés et également en ce qui concerne les données sur leurs clients. Par contre, elles seront sous-traitants par rapport aux informations qui sont transmises par leurs clients sur les clients de ces dernières. Alors, donc ça, tout va bien, c'est le champ d'application territorial d'une entreprise.

<00:49:43> On a vu jusqu'à maintenant une entreprise qui est déjà établie dans l'Union européenne. Maintenant, une entreprise qui ne serait pas établie dans l'Union européenne, dans quelle mesure est-ce que ça s'applique à elle? Ça s'applique donc lorsqu'elle traite des données à caractère personnel sur des personnes situées dans l'Union européenne, des traitements qui sont liés et à l'offre de biens ou de services à ces personnes. Donc, là, je vais répondre à votre question sur le site Web. Je crois que je vais le lire parce que ce sont les seules informations qu'on a vraiment dans le préambule et chaque mot compte, je crois.

« Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens et des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union.
Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou de l'intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers - le Canada, c'est plutôt l'anglais ou le français, mais peut-être l'espagnol ou d'autres langues qui sont utilisées selon les communautés qu'il y a au Canada - où le responsable du traitement est établi ne suffit pas pour établir cette intention.

<00:50:57> Donc, si vous avez seulement un site Web, bien, voilà, il est accessible à tous. Il est dans des langues qui sont pratiquées dans votre pays ou dans les marchés hors Union européenne que vous visez. En soi, vous n'avez pas pour autant l'intention d'offrir à des gens en Europe. Par contre,

… des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union. »

<00:51:47> Donc, pour l'instant, voilà, c'est ce qu'on a comme indication. C'est vrai que c'est un peu gris. C'est comme ça. On aura peut-être plus d'indication dans le futur, mais …

Naïm Antaki

<00:52:01> Effectivement, mais on voit quand même que… il faut que ce soit clair. Donc, tu nous as parlé de différents facteurs qui sont des facteurs en zone grise. Je pense qu'il faut qu'il y ait une certaine intention. Si vous vendez des produits ou des services en particulier, puis vous avez peut-être de la publicité qui est dirigée à des gens en Europe, ça pourrait être un facteur concret ou autrement. Mais si c'est quelque chose …

Danhoé Reddy-Girard

<00:52:28> Du retour d'expérience d'un client européen. Voilà.

Naïm Antaki

<00:52:32> Donc, ça fait malheureusement partie, je dirais, des fois, de l'approche du législateur qui est de garder des principes très généraux. Souvent, ce n'est surtout pas par paresse, je dirais. C'est simplement que la technologie avance tellement rapidement qu'ils sont pour essayer de garder peut-être un principe de neutralité en technologie, technological neutrality, justement, d'établir des principes généraux qui vont être définis un peu tard.

Danhoé Reddy-Girard

<00:53:09> Autre disposition de l'application extraterritoriale, outre l'offre de biens et de services à des personnes situées dans l'Union européenne, c'est lorsque le traitement est lié au suivi du comportement de personnes situées dans l'Union européenne. Qu'est-ce que ça veut dire? Ce que dit le préambule, c'est :

« Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.

<00:53:52> Donc, là aussi c'est un peu jusqu'où tel type de cookie pourrait être considéré comme suivi de comportement. On est également… Voilà. C'est une question d'appréciation. Oui?

Audience

<00:54:09> Il faut toujours que la personne soit identifiable. Donc, un cookie est juste <inaudible> comportement d'une personne qu'on n'est pas capable d'identifier, c'est-à-dire <inaudible>.

Danhoé Reddy-Girard

<00:54:20> Oui, mais on indique qu'une adresse IP, c'était une donnée à caractère personnel, rendait identifiable la personne.

Audience

<00:54:33> Est-ce que ça serait possible, par exemple, <inaudible> politique de s'astreindre à ne pas collecter certains renseignements personnels pour éviter un hasch, justement? Si j'ai une adresse IP et que je n'ai pas les données <inaudible> du fournisseur d'accès internet et que je m'empêche d'aller les chercher. Si je me limite moi-même et je me ferme les yeux sur l'identité de la personne puis sur les moyens.

Danhoé Reddy-Girard

<00:54:56> Oui, Naïm m'a posé la même question, hier. <rire>

Naïm Antaki

<00:54:59> On pense de la même manière. Bien, tant mieux, ça veut dire que mes questions étaient pertinentes, hier. Tant mieux.

Danhoé Reddy-Girard

<00:55:07> Bien, en fait, ce qui rend une donnée à caractère personnel, c'est si elle est identifiable. Alors là, ce que vous dites, c'est-à-dire oui elle pseudomysée, mais je n'ai pas la clé. La clé, je ne veux pas l'avoir. Oui, mais néanmoins l'information, si elle était retournée, je pourrais l'avoir dans le futur, la clé. Donc, c'est difficile de prendre cette position-là, qu'elle est anonyme parce qu'on s'est astreint à ne pas avoir accès à la clé qui va <inaudible>

Audience

<00:55:34> <inaudible> pour aller chercher la clé. Comme, par exemple, alller <inaudible> fournisseur d'accès Internet pour savoir quelle adresse Internet, quelle adresse IP j'avais à telle date. Ça commence à être déraisonnable <inaudible - conversation simultanée > capable de <inaudible - conversation simultanée> et s'il faut commettre un acte illicite pour ce faire. Je ne crois pas que ce soit <inaudible>.

Danhoé Reddy-Girard

<00:55:59> On peut en débattre. <rire>. Il faudrait analyser… je n'ai pas droit de réponse.

Audience

<00:55:34> <inaudible - convesation simultanée>

Naïm Antaki

<00:56:09> En tout cas, j'imagine que le législateur ne va pas vous astreindre à quelque chose qui vous demanderait d'aller illicitement chez un fournisseur de services. Je pense que l'idée, c'est simplement que si vous avez accès à de l'information et que vous choisissez simplement de ne pas utiliser cet accès, ce n'est pas assez… d'un point de vue général, c'est comme pour dire : prenons l'exemple du hachage à clés dont tu parlais plus tôt, n'est-ce pas? S'il y a une clé qui est chez vous quelque part, et que votre département de marketing n'a pas accès à cette clé mais votre département de TI a accès à la clé par contre, là, je ne pense pas… disons, évidemment, on est en train de… c'est de la conjecture, mais ça serait plus difficile de dire que la donnée n'est pas identifiable. Elle l'est. Voilà. Alors, je pense que c'est plus dans cette optique-là qu'il y a la nuance.

Danhoé Reddy-Girard

<00:57:18> Quand on n'est pas établi en Union européenne, mais qu'à cause de l'offre de biens et services ou du suivi de personnes on doit respecter le règlement, on a une obligation de donner mandat à un représentant dans l'Union européenne pour nous représenter en cas de… qu'une autorité de contrôle pourrait contacter. Il y a quelques exceptions, surtout en faveur des autorités publiques. Les États… l'État canadien n'a pas à nommer un représentant dans l'Union européenne, mais les entreprises, elles, doivent nommer une… plus souvent, ce sera peut-être une société, une filiale ou une société qui offre ce type de prestation-là, donner un mandat pour être représenté dans l'Union européenne.

<58:15> Bon, là, on va rentrer plus dans le cœur du sujet.

Naïm Antaki

<00:58:18> Oui.

<00:58:19> Juste par rapport à ça, je pense qu'on a voulu passer plus de temps sur la première partie qui n'est pas une introduction, mais je pense que c'est une partie très importante, parce que les questions les plus importantes qu'on a au Canada, c'est justement : est-ce que la loi s'applique à nous ou pas? C'est la question, je pense, que vous avez probablement le plus à l'interne. Alors, c'est pour ça quand on avait l'introduction, on parlait de ceci. On voit que ce cadre est très large. Pour la prochaine partie, qui est la vue d'ensemble, il y a certains droits qui sont des droits... vous allez voir, on va passer plus rapidement sur certains droits, parce que ce sont des concepts similaires ici, puis on va peut-être se concentrer sur deux ou trois droits nouveaux qui ont un impact beaucoup plus particulier pour vous. Voilà.

Danhoé Reddy-Girard

<00:59:06> Donc, Vue d'ensemble des droits des personnes concernées. Dans la colonne de gauche, vous avez ceux qui existaient déjà en Europe et, dans la colonne de droite, les nouveaux. On va les faire un par un.

<00:59:21> Droit à l'information. Droit à l'information, c'est plutôt une obligation d'information de la part des responsables de traitement, qui doivent indiquer aux personnes concernées nombre d'information, qui sont des finalités du traitement, des coordonnées du DPD. J'ai mis en gras des nouvelles informations qui seront à donner et pour des entreprises qui sont soumises au RGPD qui avaient déjà leur privacy notice. Elles auront un <inaudible> privacy notice pour ajouter les éléments qui sont en gras, ici. Donc, coordonnées du DPD, les finalités, quel est le fondement juridique (c'est-à-dire consentement, exécution de contrat, exécution d'obligations légales), les destinataires des personnes. Habituellement, on veut être assez large dans les destinataires. On va parler de partenaires aussi en vue d'une utilisation ultérieure, lorsque les informations sont transmises à une autre pour ne pas que les autres personnes aient à nouveau à donner les informations. Donc, on est assez large. La durée de conservation. C'est assez nouveau et c'est assez compliqué d'indiquer dans une notice la durée de conservation, mais il faut le faire maintenant. On dit aux gens quels sont leurs nouveaux droits. Souvent, dans les privacy notice, ça se limite à dire que vous avez tels droits. En réalité, il faut écrire tout ça. Dans les nouveaux droits, il faut écrire vous avez tels droits et, dans les droits que les gens ont, il y a notamment la mutation de traitement, la portabilité qui sont des nouveaux droits. Donc, ça, c'est à ajouter.

<01:01:02> S'il y a existence d'une prise de décision automatisée, comme un profilage et le droit de réclamation devant une autorité de contrôle. Les personnes doivent être informées dès que… Ça, c'est pour les informations qui seront à donner au moment de la collecte. Au moment de la collecte, ces informations-là doivent être données. Si jamais le responsable de ce traitement veut faire une nouvelle utilisation avec les mêmes données pour une autre finalité, il doit à ce moment-là informer quelle est cette autre finalité, à moins qu'il ne l'ait fait initialement. Évidemment, c'est d'être assez large.

Naïm Antaki

<01:01:35> Vous aviez une question?

Audience

<01:01:36> Ce n'est pas une question, mais c'est un peu applicable à ça. L'application, en général. Dans le cas, mettons, de la discovery qui a eu lieu dans un tribunal aux États-Unis, on a besoin d'avoir accès aux courriels <inaudible>. Est-ce que c'est applicable à une entité canadienne qui <inaudible> service à un autre personne visée <inaudible> Europe, mais quand on a besoin de collecter leur information <inaudible>. Est-ce qu'ils ont un droit de refus? Est-ce qu'ils ont <inaudible>?

Danhoé Reddy-Girard

<01:02:10> Un des fondements légaux, c'est l'exécution d'obligations légales. Les règles de discovery américaine, il y a peut-être un petit sujet d'extra-territorialité, surtout que… Je parle pour la France, on n'a pas de règles de discovery. Lorsqu'on a un email qu'on ne veut pas montrer, bien on ne le montre pas, c'est tout. <rire> Ça va être au niveau des finalités d'être assez large.

Audience

Donc, il y aurait quand même <inaudible>.

Danhoé Reddy-Girard

<01:02:48> Oui. Donc, ça, c'est quand les données sont collectées par la personne qui fait le traitement, qui est responsable du traitement. Il peut arriver aussi que la personne qui fait le traitement ne soit pas celle qui ait collecté les données, que ce soit elle qui a obtenu les données d'un tiers. Elle a été destinataire des données, puis elle fait un nouveau traitement. À ce moment-là, elle doit fournir les mêmes informations. Idéalement, la personne qui a collecté a déjà très, très large dans ce qui pouvait être fait avec et il n'y a rien d'autre à faire. Dans la plupart des cas, c'est ce qui arrive, c'est ce qu'on vise. Mais sinon, il faudrait les mêmes informations en plus de la source et dans un délai raisonnable ou du moins avant la première communication à un tiers ou à la personne.

<01:03:34> Il y a des exemptions. Lorsque ça se révèle impossible ou effort disproportionné, mais c'est un peu délicat de se dire ce serait disproportionné comme effort d'avoir à le faire, donc je le fais pas. C'est plutôt quand les finalités sont de type recherche ou autre que c'est applicable. Quand c'est prévu par loi, ce n'est pas applicable. Si vous communiquez des informations à votre avocat, qu'il y ait une obligation de secret professionnel, l'avocat n'a pas besoin de dire à la personne qu'il travaille sur un dossier, bien entendu.

Naïm Antaki

<01:04:13> Pour cette question d'effort disproportionné, on a souvent ces questions dans d'autres cadres au Canada. La traduction d'un site Web, on parlait d'un site Web tout à l'heure, etc., je pense que l'idée d'un point de vue à l'interne, c'est que si quelqu'un vous dit « bon, ça serait disproportionné », c'est vraiment d'avoir… si vous aviez à le prouver, comment est-ce que vous le feriez. Donc, réellement, d'avoir quelque chose d'écrit qui permet d'avoir une analyse de coûts par rapport à tout ça pour au moins avoir quelque chose d'objectif et un exemple concret de la décision au moment où elle a été prise. Comme la technologie avance rapidement, c'est quelque chose qui pourrait changer. Alors, ce n'est pas simplement quelque chose à avoir et à mettre dans le fond du tiroir, mais peut-être quelque chose à revoir de manière périodique.

Danhoé Reddy-Girard

<01:05:05> Car ils ont droit - je vais peut-être passer vite - d'accès aux données. Ça existait déjà, ce n'est pas nouveau. Droit de rectification aussi. Droit d'opposition. On avait déjà droit d'opposition, mais ce n'était pas défini de manière très claire quand est-ce qu'il pouvait s'appliquer. Avec le règlement, ça mérite d'être précis. On aura les fondements juridiques tout à l'heure. Mais globalement, si le fondement jurdique c'est d'exécuter un contrat, la personne ne peut pas dire : ah, je m'oppose à ce que vous traitiez mes informations. C'est lorsque le fondement est plutôt d'intérêt légitime comme la prospection, la personne peut s'opposer à recevoir des emails. Ou encore la mission d'intérêt public, mais ça, pour l'entreprise ce n'est pas applicable, mais la mission d'intérêt public d'une agence gouvernementale, la personne pourrait s'opposer.

<01:05:53> Le droit au recours juridictionnel effectif. Globalement, c'est le droit de poursuivre devant un tribunal, tout simplement. L'article 80 du RGPD envisage l'action de groupe, parce que, du moins du France, on n'a pas de class actions comme tel avec un opt-out, c'est du opt-in, mais les associations comme l'UFC QUE CHOISIR peuvent quand même regrouper beaucoup de personnes.

<01:06:24> Maintenant, les droits consacrés. On croit concéder ces droits qui existaient déjà. Les droits consacrés, ce sont les nouveaux droits. Droit à la portabilité. C'est lorsqu'une personne renseigne un profil. Il faut que le traitement soit automatisé. Elle a le droit de demander à l'entreprise de lui transférer un fichier électronique contenant les informations qu'elle a renseignées. Alors, le groupe de travail de l'article 29, c'est… Dans la Directive de 95 à l'article 29, c'est indiqué que l'autorité de chacun des pays se regroupe pour faire un groupe de travail pour étudier certaines questions. Le Groupe de travail à l'article 29 a établi certaines lignes directrices sur certaines questions, dont celle du droit de la portabilité pour voir, mais jusqu'où allait ce droit de la portabilité. Donc, ça va aux données qui sont fournies par la personne concernée, lorsqu'elle renseigne, des données générées par l'attitude de la personne concernée mais, par contre, ça exclut les données générées par le responsable.

Naïm Antaki

<01:07:36> Exemple concret, parce qu'on a beaucoup de questions par rapport à tout ça. D'accord? Le droit à la portabilité. C'est-à-dire que si je donne des informations à une… Tu donnais l'exemple de listes de courses ou de supermarché ou de playlists musicales. Très souvent, la manière dont les gens traitent les données, les renseignements personnels à l'interne, je le verrais comme un trade secret, un secret commercial, parce que la manière dont ils vont pouvoir extirper l'information ou la manière dont ils vont gérer cette information va donner un are going to tell about the metrics, right? Comment est-ce que je vais approcher mon marché et tout et tout. Est-ce que tu es en train de dire qu'en tant que consommateur, quand je vais demander mon dossier à cette entreprise qui est obligée maintenant de me le donner, cette entreprise va avoir accès justement… ou le consommateur va avoir accès à cette information? Ou bien, justement, tu parlais de nuance?

Danhoé Reddy-Girard

<01:08:39> Oui. Non, il peut avoir accès à la liste de choses qu'il a commandées par le passé, mais il n'aura pas accès à des données comparatives ou analytiques faites par le service stratégie/marketing de l'entreprise.

Naïm Antaki

<01:08:58> Ok. Parfait. Merci.

Danhoé Reddy-Girard

<01:09:00> Un autre nouveau droit, c'est le droit à l'effacement. Mais quand on y pense, ce n'est pas si nouveau que ça. C'est un peu la conséquence physique de l'exercice d'autres droits, tels que le droit d'opposition. Si on s'oppose valablement à un traitement, bien, la logique serait que les données soient effacées par la suite. Si le traitement est fondé sur un consentement et que le consentement est retiré, la conscience logique, c'est que l'information soit effacée.

Naïm Antaki

<01:09:25> Donc, ça veut dire qu'il faut être capable de les supprimer, ces données personnelles.

Danhoé Reddy-Girard

<01:09:29> Exact.

Naïm Antaki

<01:09:30> Ça veut dire qu'il faut savoir où les données personnelles sont rendues dans l'entreprise aussi. Concrètement.

Danhoé Reddy-Girard

<01:09:36> Oui. Concrètement, oui.

Naïm Antaki

<01:09:38> Mais c'est simplement je… Je fais ce commentaire parce que très souvent on entend parler de ces droits, on dit : bien oui, c'est clair, c'est normal, etc. Mais à l'interne, il faut être capable de l'appliquer.Ça pose beaucoup de questions. Voilà.

Audience

<01:09:51> Toujours pour <inaudible> on écrit un article sur l'ouvrage, il nous demande de leur expliquer, bon. Nous, on a notre dire. Mais <inaudible>, lui, dans son référencement <inaudible>. Est-ce que c'est une nouvelle responsabilité d'exiger les pouvoir de <inaudible> ou c'est au consommateur de faire des démarches séparément? <inaudible>

Danhoé Reddy-Girard

<01:10:10> Non, bien, ce n'est pas indiqué, mais il faut… enfin, il y a des dispositions qui parlent dans quelles conditions il faut informer les tiers qu'on avait, nous, informés qu'il leur appartient également de supprimer l'information.

Naïm Antaki

<01:10:26> Et puis t'as dit les tiers qu'on avait, nous, informés, qui est peut-être une situation différente qu'une situation Google, où Google est elle-même allée chercher l'information sur votre site Web, puis vous n'avez pas mis de robots.txt qui permet, disons, de bloquer Google ou d'autres. Donc, c'est une question, je pense, plus au cas par cas par rapport à ça?

Danhoé Reddy-Girard

<01:10:45> Oui, je ne veux pas… Pour répondre, il faudrait regarder un peu plus de manière approfondie.

<01:10:56> Autre nouveau droit. Le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris un profilage, produisant des effets juridiques. Donc, l'exemple qui est donné dans les considérants, c'est le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Cette interdiction ne s'applique pas si la décision est soit nécessaire à la conclusion de l'exécution d'un contrat autorisée par la loi ou fondée sur le consentement de la personne. Quand c'est permis de faire ce type de traitement, il y a quand même des mesures appropriées à prendre avec au moins le droit d'obtenir une intervention humaine, d'exprimer son point de vue, de contester la décision.

<01:11:43> Droit d'information d'une violation. C'est également nouveau pour nous, sauf dans le secteur des télécoms où il y avait déjà ça. En fait, informer qui? Il y a une double information, ou double obligation : informer l'autorité de contrôle et informer la personne concernée. En ce qui concerne l'autorité de contrôle, il faut l'informer dans les meilleurs délais, si possible 72 heures au plus tard. Ça s'applique à tout type de violation à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Et à côté de ça, une obligation de documenter les violations en indiquant les faits, les effets, les mesures qui ont été prises. C'est assez nouveau pour la plupart des Européens.

Naïm Antaki

<01:12:32> Et puis c'est un peu la même chose au Canada, n'est-ce pas? On a entendu parler, effectivement, du règlement et donc c'est quelque chose qui est important aussi pour le Canada.

Danhoé Reddy-Girard

<01:12:45> Ici, c'est un exemplaire de formulaire, utilisé dans le secteur des télécoms, de notification en France. Il y a également une obligation d'informer de violation les personnes concernées seulement, cependant, en cas de risque élevé pour les droits aux libertés et, donc, il faut analyser qu'est-ce qu'un risque élevé. Les sous-traitants ont également une obligation d'informer d'une violation le responsable de traitement pour que celui-ci puisse informer la personne concernée et/ou l'autorité.

Naïm Antaki

<01:13:19> Je m'excuse. Ça, c'est très important, parce que d'un point de vue de sous-traitant je… Ça veut dire que même si dans votre contrat vous n'avez pas cette obligation, si vous êtes un sous-traitant d'un point de vue du règlement, vous avez quand même une obligation comme celle-ci. Donc, encore là, quand on regarde un contrat, tout le monde est capable de lire ce qui est dans le contrat. Ce qui est important, c'est de comprendre ce qui n'est pas dans le contrat. Alors, c'est une obligation qui est additionnelle par rapport à ce à quoi on était peut-être habitué auparavant.

Danhoé Reddy-Girard

<01:13:47> Bien qu'en l'espèce - on y reviendra, sur les obligations, en fait, dans les contrats de sous-traitants - mais on a notamment ça, donc ...

Naïm Antaki

<01:13:56> Oui.

Audience

<01:13:57> <inaudible> dans ce document d'entreprise, est-ce que tout membre doit peut-être fournir tous les <inaudible> qui pourraient être capables de répondre à ça? C'est énorme.

Danhoé Reddy-Girard

<01:14:12> <inaudible> tous les contacts de …

Audience

<01:14:15> Bien, toutes les choses qui doivent <inaudible> par… s'il y a le droit de <inaudible>.

Naïm Antaki

<01:14:22> C'est dans le cadre, particulièrement, d'une violation. N'est-ce pas?

Danhoé Reddy-Girard

<01:14:27> Oui.

Naïm Antaki

<01:14:28> Puis je vais te poser la question du point de vue canadien, Danhoé. D'un point de vue canadien, il y a toujours… there's a risk of substantial harm. Il y a quand même une sorte de nuance, ce n'est pas dans tous les cas.

Danhoé Reddy-Girard

<01:14:41> Oui mais ici, aussi.

Naïm Antaki

<01:14:42> Est-ce que c'est un principe qui est un peu similaire en Europe?

Danhoé Reddy-Girard

<01:14:47> Oui. Bien, au fond, on a le… En cas de risque élevé, donc, oui il y a cette atténuation à l'obligation. C'est écrit dans le règlement qu'il ne faut pas collecter des informations sur les gens juste pour les informer. Donc, il y a ça aussi, quoi. L'idée, ce n'est pas d'imposer aux entreprises de collecter des informations qu'elles ne collecteraient pas sinon, juste pour pouvoir informer en cas de violation. Il faudrait voir au cas par cas. Oui.

Audience

<01:15:24> <inaudible>

Naïm Antaki

<01:15:25> Absolument.

Audience

<01:15:29> <inaudible>

Danhoé Reddy-Girard

<01:15:43> Oui. Alors, dans les data average policies, effectivement, c'est qui est-ce qu'on avise, alors? Il y a des dispositions. Lorsque vous êtes un établissement européen, il y a une notion de leading, supervising, authority, donc autorité - j'ai oublié c'est quoi le mot en français - et qui dit, globement : c'est là où l'établissement principal est situé dans l'Union européenne. Donc, voilà. Par contre, si vous êtes une entreprise canadienne, pas d'établissement en Europe, bien, en réalité il faut black and white <inaudible>, il faut notifier toutes les autorités de contrôle où vous avez des personnes concernées.

<01:16:24> D'autres droits. Droit à la limitation temporaire du traitement, qui est simplement, si jamais il y a une personne qui fait une rectification entre-temps, on met l'information de côté, le temps de la rectifier.

<01:16:38> Droit de recours contre la décision d'une autorité de contrôle. La Judicial Review of Administrative Action, ici. Ça, c'est un nouveau.

Naïm Antaki

<01:16:49> Pour cette prochaine partie, Danhoé, tu nous avais dit qu'il y avait certaines choses qui sont un élargissement des obligations du responsable et du traitement du sous-traitant. Puis on apprécie beaucoup les questions qu'on a eues jusqu'ici. On aimerait quand même laisser du temps un peu pour les questions, pour les personnes qui n'ont pas voulu en poser. Si tu avais à choisir peut-être un ou deux éléments clés… Je ne sais pas, tu avais parlé de responsabilité ou d'accountability ou de privacy by design and default, la tenue du registre. Si on peut se concentrer sur un ou deux et, pour le reste, le laisser pour des questions.

Danhoé Reddy-Girard

<01:17:27> Oui, tout à fait. Donc, les six principes, on en a parlé au début. Ils ne sont énormément nouveaux. La licéité, on l'a dit tout à l'heure, sur le consentement, l'exécution d'une obligation ou l'exécution d'une obligation légale, contractuelle ou fondement d'intérêt légitime, ce sont des alternatives. Petit bémol en ce qui concerne les données sensibles qu'on définit comme étant les données qui révèlent l'origine ethnique, opinion politique, philosophique ou religieuse ou santé, ce n'est pas n'importe quel traitement. Habituellement, c'est le consentement ou une obligation légale, santé, sécurité, médecine. Également une exception pour les informations sur les condamnations pénales. Le consentement. Je vais un peu revenir à ce que j'ai dit au début, mais le consentement est tout le temps rétractable. Il doit être libre, éclairé, univoque et spécifique. Donc, on ne peut pas donner son consentement à un ensemble de traitements; c'est un par un. Donc, c'est assez compliqué d'obtenir le consentement.

<01:18:45> Ce que je voulais te parler plutôt, c'est du septième nouveau principe de la respnsabilité qui, en anglais accountability, est de rendre compte. Auparavant, c'était une obligation a priori de notifier une autorité de contrôle <inaudible> autorisation pour faire un traitement et l'autorité de contrôle devait regarder le traitement et donner son visa a priori. Aujourd'hui, on va transférer la charge de vérifier si le traitement est approprié sur le responsable des traitements et l'autorité de contrôle va faire un contrôle a posteriori au moyen de contrôle et, à cette fin, le responsable des traitements doit être en mesure de justifier qu'il se conforme au règlement, ce qui entraîne pour lui des nouvelles obligations qui sont listées une à une.

<01:19:46> Privacy by design and default, c'est la prochaine slide. Dès la conception du traitement, on intègre des droits des gens. On intègre les caractéristiques qui sont nécessaires pour protéger les individus et non seulement au moment de l'exécution du traitement. On a mis quelques exemples de nouveaux traitements, celui de Google Street View. Qu'est-ce qu'il faut faire pour que ce soit conforme à la réglementation. Google Arts & Culture aussi, <inaudible> qu'est-ce que ça implique. Des nouvelles applications, il faut penser au règlement.

 

<01:20:33> Une autre nouvelle obligation, c'est la tenue d'un registre. Ça, c'est assez lourd, en fait. Auparavant, on devait faire une déclaration à la tenue de contrôle sur tous les différents traitements. Aujourd'hui, il faut nous-mêmes tenir un registre où on liste chacun des traitements. Il y a soi-disant une exception pour les entreprises de 150 salariés au moins, mais cette exemption ne s'applique pas aux traitements qui ne sont pas occasionnels. Or, la plupart des traitements ne sont pas occasionnels et donc l'exemption, finalement, a une portée très limitée. Il faut tenir un registre. Le responsable de traitement tient un registre dans lequel il indique chacun des traitements, les finalités, les pays tiers où c'est transféré, les catégories de destinataires, les délais d'entreposage. Lorsqu'on a également la qualité de sous-traitant, on tient également un registre en qualité de sous-traitant où on a à peu près les mêmes informations.

Naïm Antaki

<01:21:36> Et juste par rapport à ça, parce qu'encore là, quand vous négociez des contrats, peut-être vous avez un contrat actuel avec une entreprise en Europe et puis, disons, à l'interne les gens vont dire cela : on va renouveler le contrat, it's gonna be business as usual. Peut-être à cause de ces obligations additionnelles, notamment de tenue du registre, le renouvellement de votre contrat va prendre plus de temps parce qu'il va y avoir plus de questions qui vont vous être posées. On revenait à la question où même si le responsable du traitement est en Europe et que vous êtes un sous-traitant qui est au Canada, ils vont peut-être, comme ils le font très souvent, vous obliger contractuellement à avoir un registre de la même manière. Alors, si vous savez qu'il y a justement ce renouvellement de contrat ou un nouveau contrat qui vient en Europe bientôt, peut-être de faire le suivi à l'interne pour préparer les gens à ce qu'ils pourraient demander pour que le renouvellement ou la négociation du contrat puisse se faire plus rondement qu'autrement. Voilà.

Danhoé Reddy-Girard

<01:22:45> Et pour <inaudible>, ça, c'est un exemple de registre de la CNIL. La CNIL, c'est l'autorité de contrôle française. C'est un document Excel avec un onglet avec la liste, un onglet qui décrit chacun des traitements. Notre recommandation pour faire ce registre-là, ce qu'on fait souvent pour des clients, c'est un audit de data mapping, où on envoie des questionnaires dans les différents départements du client, et, avec le retour des questionnaires, on est en mesure de remplir le registre. Une autre façon qui est plus simplifiée, c'est que si on est en face d'une entreprise qui se conformait déjà aux obligations déclaratives ou de demandes d'autorisation, on peut, sur la base des déclarations qui ont été faites, les autorisations qui ont été obtenues, constituer un registre.

<01:23:30> La conduite d'analyse d'impact. C'est une autre obligation qui est faite, donc on a dit qu'on n'a plus de demander une autorisation à l'autorité de contrôle, bien qu'en France, la France va mettre quelques exceptions à ça, surtout en matière de santé. La règle générale, c'est qu'on n'a plus besoin de demander une autorisation. En revanche, si on fait un traitement qui a des risques élevés, on a l'obligation de conduire une analyse d'impact afin de voir les mesures qui seront à prendre. Actuellement, la plupart des entreprises au 25 mai seront exemptées dans la mesure où elles auront déjà fait les déclarations qu'il fallait et elles ne vont pas changer leur traitement. Ça s'applique surtout aux nouveaux traitements qui seraient faits par la suite.

<01:24:14> Quel est le champ d'application de cette nouvelle obligation de conduite d'analyse d'impact? C'est lorsque le traitement envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Les lignes directrices du Groupe de l'article 29 disent que, en fait, on est en face d'un risque élevé quand on remplit deux des neuf facteurs suivants, que je vais vous laisser lire plus tard, mais qui sont quand même assez larges.

Naïm Antaki

<01:24:43> Sauf que par rapport à ça - je m'excuse -, moi, quand je lis ceci, je vois que les critères, s'il en faut seulement deux, the treshold, le niveau pour avoir une étude d'analyse d'impact est assez bas, ce qui fait que quand on parle juste de croisement des données ou d'usage innovant, everyone does cross-selling and, you know, people are looking to… de faire de l'usage innovant, donc cette étude d'analyse d'impact, c'est vraiment quelque chose qui peut être applicable dans de nombreux cas.

Danhoé Reddy-Girard

<01:25:16> Dans les lignes directrices, vous aurez également plus d'information sur chacun des points qui sont développés ici. Donc, il faut faire cette analyse d'impact avant le traitement. Et il faut éventuellement consulter l'autorité de contrôle si jamais les conclusions de l'analyse d'impact, c'est qu'elle présenterait des risques élevés si des mesures d'atténuation du risque ne sont pas prises ou consultées sur les mesures d'atténuation adaptées. Il y a également l'obligation de nommer un DPD (délégué à la protection des données) seulement dans certains cas, essentiellement pour les autorités publiques, d'une part, et, en ce qui concerne les entreprises, c'est obligatoire lorsque les activités de base de l'entreprise consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle de personnes concernées, ou encore un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales. Donc, si on est sur du B2B a priori, on y échappe. Enfin, pour la plupart des entreprises si on exclut le big data.

<01:26:31> Le DPD, qui est-il? Ça peut être un membre du personnel. Ça peut également être une organisation tierce. Il ne faut pas qu'il y ait de conflit d'intérêts. Il ne faut pas que ce soit quelqu'un du General Management, de la direction générale. Il en faut pas que ce soit une personne qui prend une décision dans la détermination des finalités et des moyens de traitement. Parce qu'il serait conflicté, parce qu'à la fois il prend des décisions. Donc, il faut une personne qui soit un peu en retrait.

<01:25:69> Les missions. Informer, contrôler, conduire une analyse d'impact, coopérer. Ce qui nous amène aux dispositions contractuelles.

<01:27:11> Je sais qu'on n'a pas beaucoup de temps, mais c'est quand même important les dispositions contractuelles. Les contrats avec les sous-traitants. Alors, un responsable de traitement européen qui fait affaire avec un sous-traitant a l'obligation de ne faire affaire qu'avec un sous-traitant qui présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement <inaudible>. Donc, les entreprises canadiennes, le règlement ne s'applique pas à vous parce que vous ne vendez pas des biens et services dans le milieu européen. Néanmoins, vous offrez vos services à des entreprises européennes. Bien, les entreprises européennes ont l'obligation de choisir des sous-traitants qui ont mis en place des mesures techniques et organisationnelles pour se conformer.

Naïm Antaki

<01:27:59> C'est un concept qui existe aussi au Canada. Même si vous êtiez au Canada puis vous sous-traitiez, ce concept est très similaire. Donc, ça va dans l'harmonisation, je dirais, des lois.

Danhoé Reddy-Girard

<01:28:09> Oui. Et, également, comme elles ont une responsabilité qui est engagée, si le traitement que vous effectuez n'est pas conforme, elles ont aussi intérêt à choisir des sous-traitants qui vont les aider à se conformer elles-mêmes. Donc, les contrats avec les sous-traitants. Ils doivent être régis par le contrat. Actuellement, on fait beaucoup d'avenants à des contrats existants. Un avenant qui prend effet au 25 mai, qui contient les obligations obligatoires, il faut définir l'objet, la durée du traitement, la nature, etc. Le contrat interdit au sous-traitant d'avoir recours à un autre sous-traitant, sauf autorisation préalable spécifique ou autorisation préalable générale, auquel cas le responsable de traitement doit être informé préalablement du sous-sous-traitant envisagé et il a la possibilité d'émettre des objections.

Naïm Antaki

<01:29:00> Donc, c'est une manière clé en main, disons, d'ajouter l'annexe ou l'avenant dont tu parles pour s'assurer d'être en conformité quand on traite avec les sous-traitants.

Danhoé Reddy-Girard

<01:29:11> Oui. Voilà. Et là, ici, il y a une slide qui dit tout ce que doit contenir les obligations contractuelles dans cet avenant ou annexe. Je passe. Lorsqu'on a des responsables de traitement conjoints, il y a également une obligation de contractualiser leur relation pour définir le rôle de chacun. Alors, qu'est-ce que c'est que des responsables de traitement conjoints? C'est lorsqu'ils déterminent conjointement les finalités et les moyens du traitement. En pratique, c'est assez rare. Un exemple, c'est un site Internet, mais au nom de différentes sociétés du même groupe. Les grandes lignes de cet accord doivent être mises à la disposition de la personne concernée. Donc, il faut prévoir une petite annexe et puis, voilà, ce qu'on met à la disposition de la personne concernée.

<01:29:59> Un autre sujet qui n'est pas nouveau, en fait, c'est tout ce qui est transfert à l'extérieur de l'Union européenne. Le principe général, c'est que les données doivent rester dans l'Union européenne ou dans des pays qui ont reçu une décision d'adéquation de la part de la Commission Européenne. Comme c'est le cas du Canada, mais seulement pour certains types <inaudible - conversation simultanée>.

Naïm Antaki

<01:30:26> Oui, c'est ça. Bien, dans le domaine privé, pas nécessairement dans le domaine public. Puis simplement, très rapidement, quand la loi et puis le règlement étaient en train d'être étudiés, puis même il y a beaucoup de commentaires dans les journaux spécialisés ou autrement où le Canada veut absolument trouver le moyen de garder cette adéquation, parce que c'est un plus pour éviter d'avoir à signer des contrats additionnels, des contrats types additionnels. Donc, effectivement, c'est une question importante.

Danhoé Reddy-Girard

<01:30:58> C'est une autre obligation qu'ont les responsables de traitement. Et si une entreprise canadienne est responsable de traitement parce qu'elle offre des biens et services là-bas, elle aurait… logiquement, elle a également cette obligation-là si elle-même fait affaire avec des sous-traitants aux États-Unis, par exemple. Donc, elles devront à ce moment-là a priori avoir un contrat de transfert de données qui intègre les clauses-types approuvées par l'Union européenne.

<01:31:32> Les mesures de sécurité, on l'a mis, mais ce n'est pas fondamentalement nouveau. Il faut s'assurer de la sécurité des données.

<01:31:39> Et voilà, c'est ça. On va finir par la conclusion, parce que là on a vu les nouvelles obligations avec le règlement sur les responsables de traitement et sous-traitants. Comment on fait pour mettre en œuvre le règlement. Alors, on a juste deux ou trois slides, ici, et c'est fini.

<01:31:59> Premièrement, faire un audit, data mapping, pour identifier les traitements, qui a le rôle de responsable de traitement et qui a le rôle de sous-traitant. Le cas échéant, est-ce qu'on tombe dans le champ d'application territorial au vu de ça? Avec cette information, on va pouvoir renseigner le registre. Il faudra, dans les différentes choses à faire, adapter les contrats, notices et formulaires de consentement, le cas échéant. Donc, les notices d'information qui se retrouvent dans les conditions générales qui peuvent être affichées sur le lieu de travail pour les établissements qui sont en Europe. Le formulaire de recueil de consentement en ligne, le cas échéant. Contrat responsable conjoint. Contrat avec sous-traitant - un gros morceau. Si ce n'est pas déjà fait, normalement ça devrait être déjà fait, tout ce qui est contrat avec destinataire hors espace économique européenne. Et puis mandat donné à un représentant dans l'Union européenne pour représenter un responsable du traitement ou sous-traitant qui ne serait pas en Union européenne.

<01:33:08> Adopter des mesures techniques et organisationnelles. En pratique, des politiques. Politique de protection des données personnelles, sur la durée de conservation, pour gérer les demandes d'accès et autres des personnes concernées, politique de notification des violations/à qui on s'adresse, politique de tenue d'analyse d'impact et, des fois, d'autres politiques particulières. En France, par exemple, dès que vous avez plus de 50 salariés, vous avez l'obligation depuis le 1^er janvier d'avoir des procédures de recueil de signalements <inaudible> d'alertes. C'est bien balisé avec un nombre de mois que vous pouvez conserver l'information. Vérifier que les mesures de sécurité sont adéquates. Ça, a priori, ce n'est pas nouveau.

<01:33:50> Les analyses d'impact. Déterminer s'il y a lieu d'en faire. Le cas échéant, les réaliser et, si c'est nécssaire, consulter l'autorité de contrôle. Vérifier si on a nommé un délégué à la protection des données et, le cas échéant, qui ça peut être. Et on peut, en dernier, prendre compte de toute spécificité des lois du pays considéré. Voilà.

Naïm Antaki

<01:34:12> Donc, merci beaucoup, Danhoé. Comme on vous l'a dit, notre but ici était de faire une vue d'ensemble accélérée. On est très conscient qu'il y a beaucoup d'information dans le… disons c'est un règlement qui est complexe. Si vous suivez nos médias sociaux, en fait, on donne de l'information périodique sur chacun des points du plan d'action pour vous aider concrètement par rapport à tout ça. Évidemment, si vous avez des questions particulières à votre situation, ça vous nous faire plaisir d'y répondre, que Danhoé y réponde. Si vous avez des questions, ça va nous faire un grand plaisir. Je vois qu'il y en a déjà une, ici. Oui?

Audience

<01:34:58> <inaudible> juste une question d'entrer dans le site Web. Vous parlez <inaudible> autorisation de collecter des données. <inaudible>

Danhoé Reddy-Girard

<01:35:12> Donc, la question des cookies sur le site Web. En fait, il y a deux questions. La première, c'est celle du champ d'application. Est-ce que c'est un établissement en Europe? Si c'est au Canada, est-ce que c'est, dans ce cas, du suivi ou de l'offre de biens et services à des personnes situées sur le territoire ou non? Une fois qu'on a répondu, bien, oui on rentre là-dedans. On se pose la deuxième question par rapport aux cookies. Alors, par rapport aux cookies, les règles actuelles en Europe, en France par exemple c'est 13 mois maximum la durée d'expiration, oui il faut avoir un consentement opt-in. Et puis la CNIL le dit, il faut avoir une banner, une bannière qui s'affiche au bas de la page et qui dit : voilà, vous pouvez cliquer ici pour paramétrer vos cookies, avec certains détails, dans quelles mesures est-ce qu'on peut simplement indiquer comment configurer le navigateur pour <inaudible>. Ça, c'est déjà balisé. Oui. Et puis on a le nouveau règlement, l'autre règlement en fait sur la communication et vie privé qui pourra… Enfin, il y a des rumeurs qui pourraient changer beaucoup les choses là-dessus, mais je ne veux pas entrer là-dedans.

Audience

<01:36:47> <inaudible> si on a collecté les données avant.

Danhoé Reddy-Girard

<01:36:57> Le nouveau règlement dont on parle ne change pas ça fondamentalement sur le contenu.

Audience

<01:37:04> <inaudible>

Danhoé Reddy-Girard

<01:37:07> Oui, le règlement s'applique à compter du 25 mai, mais sur la question des cookies, disons que le droit antérieur n'est pas changé véritablement par ce règlement-ci. L'autre règlement dont on a parlé dans les premières diapositives, vie privée et communication, pourrait changer la donne en ce qui concerne les cookies.

Audience

<01:37:36> La taille des équipes responsables de la mise en œuvre ressemble à quoi?

Danhoé Reddy-Girard

<01:37:41> Je dirais qu'elle est proportionnelle à la taille de l'entreprise.

Audience

<01:37:44> Non, je ne parle pas dans l'entreprise, je parle en Europe. Ceux qui vont voir à l'application de la loi, on parle de combien de personnes? Est-ce que c'est une personne, un bureau de cinq qui va devoir surveiller pour l'ensemble de l'Europe ou on parle d'armée <inaudible> aller voir toutes les entreprises?

Danhoé Reddy-Girard

<01:38:04> Des gens qui font le contrôle, c'est ça?

Audience

<01:38:07> Ce que j'essaie de voir, c'est à quelle vitesse ils vont se rendre au Canada <inaudible>.

Naïm Antaki

<01:38:13> Les autorités publiques, enforcing <inaudible - convesartion simultanée>.

Danhoé Reddy-Girard

<01:38:15> Oui, d'accord. C'est vrai qu'actuellement en France, hormis les <indiscernable> qui sont dans la ligne de mire des autorités, les autorités de contrôle ont plutôt tendance à agir sur la base d'une plainte qui est faite. Si on est une entreprise low profile, a priori on va recevoir une notification d'information et on aura la possibilité de remédier à ce qui est remédiable.

Audience

<01:38:59> C'est juste que <inaudible> c'est quand même un peu long d'ici le 25 mai. C'est juste une question de savoir à quelle vitesse <inaudible>.

Danhoé Reddy-Girard

<01:39:06> Il y a beaucoup d'entreprises qui sont… Actuellement, les grandes entreprises ont pris les devants et disons que les moyennes entreprises sont un peu à la traîne. Il faut dire aussi que même si le règlement date de 2016, on a beaucoup de lignes directrices qui ont été publiées seulement en fin d'année dernière. Donc, voilà.

Audience

<01:39:32> Je pense <inaudible> s'il y a une enquête, s'il y a quelque chose, la première <inaudible> va avoir une amende <inaudible>.

Danhoé Reddy-Girard

<01:39:44> Dans la loi actuelle qui est issue de la Directive de 95, l'autorité de contrôle peut mettre en demeure et si l'entreprise n'a pas remédié à la situation, à ce moment-là elle peut infiger une peine qui était jusqu'à 300 000 euros, portée maintenant à… enfin j'ai oublié combien. Trois millions d'euros. Et maintenant c'a augmenté. Donc, ça, c'est le même dans le projet de loi français. Donc, il y a un peu la même logique par rapport à des amendes qu'infligerait la CNIL pour la France. Après, à côté de ça, on a quand même la menace de sanctions pénales. Un procureur décide d'aller de l'avant, il faudrait quand même que ce soit grave, en pratique.

Naïm Antaki

<01:40:38> Au-delà encore de la conformité spécifique, parce que très souvent notre approche est de dire : bon, qu'est-ce que l'autorité réglementaire va faire?, il y a aussi toute la question contractuelle. Donc, très souvent, indépendemment de ce que l'autorité réglementaire va faire, si dans vos 10 ou 20 plus grands clients vous en avez une bonne partie qui sont européens et que dans les contrats que vous avez avec ces clients européens il y a des sanctions où vous allez perdre le contrat par rapport à ça, donc je pense que ça vient augmenter peut-être la priorisation dans votre entreprise. Et puis aussi ça serait par rapport, je pense, à la sensibilité des données, si vous aviez à faire une priorisation à l'interne. Si ça peut aider un peu. Parce que je suis d'accord avec vous que c'est une liste qui est assez longue. Ceci dit, ce n'est pas tout qui est nouveau dans le sens où… Je pense que dans la majorité des cas, les entreprises vont déjà avoir une base et puis on a quand même une loi au Canada qui n'est pas mauvaise. Donc, c'est peut-être de voir : voici ce qu'on a, puis qu'est-ce qu'on doit améliorer, qu'est-ce qu'on doit ajouter. Alors, ce n'est peut-être pas aussi, disons, incroyable ou ça ne fait pas aussi peur une fois qu'on a les documents. Voilà.

<01:42:01> Est-ce que vous avez d'autres questions?

<01:42:06> Parfait. Alors, je veux vraiment sincèrement vous remercier d'avoir pris le temps de venir nous voir aujourd'hui, de votre attention, de vos nombreuses questions. Danhoé, je te remercie aussi au nom de notre bureau de t'être déplacé ici pour cette question qui est très importante.

Danhoé Reddy-Girard

<01:42:27> Je vous remercie, à tous.

Naïm Antaki

<01:42:31> Soyez bien à l'aise, si vous avez des questions plus, on va faire un suivi avec vous, notamment comme on vous l'a dit par rapport à la présentation. Ça va nous faire plaisir de continuer à discuter de ceci avec vous, si vous le voulez. Voilà. Merci.

Danhoé Reddy-Girard

<01:42:46> Merci.

<applaudissements>

<Fin de l'enregistrement>