Retour English version
Droit des affaires, Droit immobilier, Litige

Pourquoi devez-vous connaître les nouvelles règles applicables au RGPD de l'Union Européenne ?

6 juin 2018

Par Frank M. Schlesinger

Le 25 mai 2018, le nouveau Règlement général sur la protection des données (« RGPD ») de l’Union Européenne est entré en vigueur.  Les règles y contenues sont basées sur les règles précédentes telles que le « Safe Harbor », mais constitue une révolution en ce que l’individu physique (« la personne concernée ») est maintenant le propriétaire de ses informations et données à caractère personnel (les « Informations ») et les contrôle.

Les Informations comprennent toutes informations se rapportant à une personne physique identifiée ou identifiable, telles que l’identification directe par un nom, prénom, photo, e-mail, courriel nominatif, etc. ou l’identification indirecte identifiant le compte, les numéros de téléphone, numéros de sécurité sociale, adresses IP, etc. Les règles visent toute personne qui est impliquée dans le traitement de données à caractère personnel, y compris la collecte, l’enregistrement, la conservation, simple consultation, l’utilisation, la destruction et l’entreposage.

Nonobstant le fait que ceci est une directive européenne, tout résident de l'Union Européenne dont les Informations sont visées aura un recours et si la personne qui recueille, utilise ou entrepose ces Informations ne les traite pas de façon règlementaire ou fait défaut de les protéger de manière adéquate, les pénalités seront très sévères. Les pénalités peuvent atteindre des amendes de jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires mondial de l'entreprise prise en défaut.€ ou 4 % du chiffre d’affaires mondial de l'entreprise prise en défaut.

Par conséquent, même si vous êtes une entreprise qui ne vend qu'en ligne et reçoit des informations de carte de crédit d'un résident de l'Union Européenne ou si vous recevez des informations personnelles pour des listes de diffusion ou à d'autres fins, vous êtes à risque si vous ne respectez pas les règles.

Les personnes qui traitent les Informations des résidents de l’Union Européenne doivent :

  1. nommer un délégué à la protection des données (« Délégué à la protection des données ») afin de transiger avec les autorités gouvernementales en Europe (certaines entreprises seulement);
  2. avoir une politique sur le traitement de données personnelles qui prévoit clairement de quelle façon les Informations seront recueillies, entreposées, traitées, utilisées, etc.;
  3. obtenir de la personne concernée un consentement éclairé, non équivoque et librement donné afin d’utiliser ses Informations pour les fins énoncées dans la politique sur les données personnelles. De plus, la personne concernée a le droit de révoquer son consentement et d'être «oubliée» en exigeant la destruction ou la suppression de ses Informations. Il est douteux que les longs formulaires remplis de jargons légaux qui se trouvent présentement sur plusieurs sites Web seront valides;
  4. prendre des mesures proactives afin de montrer qu'elle fait preuve de diligence raisonnable et que les mesures entreprises pour protéger les Informations sont de la plus haute qualité et respecte les règles de l’art dans le domaine. De plus, le fardeau de la preuve de cette diligence et de cette protection incombe à l’entreprise non pas à la personne concernée.

Toute demande de la personne concernée faite en vertu des règles doit être traitée par l’entreprise dans de très stricts délais.

De plus, outre les pénalités très alourdies, telles que mentionnées ci-dessus, qui peuvent même aller à une poursuite pénale, la personne concernée qui se croit lésée a le droit de poursuivre en dommages-intérêts.

À la lumière de ce qui précède, vous avez sans doute reçu plusieurs courriels de diverses compagnies à l’effet que leurs politiques pour la protection de données personnelles ont récemment été « améliorées ».

N'hésitez pas à communiquer avec le soussigné pour toute information ou assistance en rapport à ces nouvelles règles.