Renseignements personnels de résidents européens

Toute entreprise moderne doit aujourd'hui disposer d'une forte présence en ligne. Quelle que soit la taille de votre entreprise ou votre secteur d'activité, la communication avec les clients et les transactions en ligne sont aujourd'hui des services de base pour la clientèle. Bien que la plupart des entreprises soient désormais avisées des menaces engendrées par les atteintes et les piratages informatiques, nombre d'entre elles ne sont pas informées de la nouvelle réglementation européenne sur la protection des renseignements personnels entrée en vigueur en mai 2018. Celle-ci crée un ensemble de nouveaux risques pour les entreprises faisant affaire au sein de l'UE, que ce soit en ligne ou physiquement.

Qu'est-ce que le règlement général sur la protection des données?

Le règlement général sur la protection des données (RGPD) est un ensemble de nouvelles règles sur la protection des données concernant toutes les entreprises ayant soit (a) une « implantation » au sein de l'Union européenne (UE) et « traitant » des « renseignements personnels » dans le contexte de cette implantation, ou (b) n'ayant aucune implantation au sein de l'UE mais traitant des renseignements personnels d'individus résidant dans l'UE, et dont le traitement est en lien avec (1) l'offre de biens ou de services à des individus au sein de l'UE ou (2) la surveillance des comportements des individus lorsque ceux-ci se trouvent au sein de l'UE (toutes les phrases et les mots entre guillemets sont définis dans le RGPD). Ces règles ont pour objectif de donner plus de contrôles aux consommateurs sur leurs données personnelles, de changer la manière dont les organisations abordent la protection des renseignements personnels et de créer des règles équitables pour toutes les entreprises.

Le RGPD a un effet extrajuridictionnel et s'applique, quel que soit l'endroit où les entreprises sont physiquement implantées. Si vos activités relèvent des parties (a) ou (b) du paragraphe susmentionné, le RGPD s'applique à votre entreprise. Au sein du marché connecté actuel, le RGPD a une portée très importante.

Les exigences du RGPD sont, à de nombreux égards, plus strictes et plus exhaustives que les normes comparables nord-américaines, y compris la Loi sur la protection des renseignements personnels et les documents électroniques (Canada). La définition des renseignements personnels dans le RGPD est large, et les exigences sur la collecte, l'utilisation et la divulgation des renseignements personnels de manière conforme sont, en général, plus strictes.

Par exemple, le RGPD prévoit qu'un avis doit être envoyé à l'autorité compétente dans des délais raisonnables pour la plupart des atteintes à la protection des renseignements personnels et, lorsque cela est possible, dans les 72 heures après avoir été informé de l'atteinte. De plus, dans de nombreux cas, les avis concernant les atteintes doivent également être envoyés aux individus touchés dans des délais raisonnables.

Les entreprises qui enfreignent le RGPD peuvent subir des sanctions financières importantes, et l'assurabilité de celles-ci reste une zone grise dans la plupart des juridictions. Bien qu'une bonne couverture contre les cyberrisques peut assurer votre entreprise contre les atteintes prévues par le RGPD, la LPRPDE et les autres lois relatives à la protection des renseignements personnels, les sanctions pénales ne sont pratiquement jamais assurables.

Quelles sont les conséquences du non-respect de ces règles?

Les entreprises qui enfreignent le RGPD peuvent subir des sanctions financières importantes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (selon le montant le plus élevé) pour les infractions les plus graves, comme une atteinte intentionnelle à la protection des renseignements personnels ou un traitement de renseignements personnels n'ayant pas fait l'objet d'une approbation adéquate de la part des clients. Les atteintes moins graves selon le RGPD, notamment l'absence d'enregistrements appropriés ou d'avis concernant l'atteinte à l'autorité de supervision et aux individus touchés, peuvent mener à une amende de 10 millions d'euros ou de 2 % du chiffre d'affaires mondial (selon le montant le plus élevé).

Peut-on être assuré contre les sanctions ou amendes prévues par le RGPD?

Les entreprises qui enfreignent le RGPD peuvent subir des sanctions financières importantes, et l'assurabilité de celles-ci reste une zone grise dans la plupart des juridictions. Bien qu'une bonne couverture contre les cyberrisques peut assurer votre entreprise contre les atteintes prévues par le RGPD, la LPRPDE et les autres lois relatives à la protection des renseignements personnels, les sanctions pénales ne sont pratiquement jamais assurables.

Bien comprendre les risques liés au RGPD que vous encourez est une première étape importante. Réduire les risques de sanction encourus est possible par la conformité au RGPD.

Si votre entreprise est concernée par le RGPD, voici quelques éléments à prendre en compte

Quels sont les renseignements personnels que nous collectons et où les conservons-nous? La première étape pour toute entreprise est de comprendre exactement le type de renseignements personnels qu'elle collecte et utilise, ainsi que le lieu où sont physiquement conservés ces renseignements, afin de pouvoir par la suite mettre en place un programme de mise en conformité avec le RGPD.

Pourquoi collectons-nous des renseignements personnels? Selon le RGPD, toutes les entreprises doivent être en mesure d'expliquer la manière dont seront utilisés les renseignements personnels collectés. Les entreprises doivent également être capables d'envoyer ces informations aux individus si cela leur est demandé.

Disposons-nous d'un consentement adéquat concernant la collecte, l'utilisation et la divulgation de renseignements personnels? Le RGPD définit des exigences strictes en matière de consentement quant à la collecte, l'utilisation et la divulgation de renseignements personnels. Les entreprises doivent s'assurer qu'elles respectent ces exigences.

Quels cyberrisques encourons-nous?  En plus des nombreuses autres conséquences qui découlent d'une potentielle atteinte à la protection des renseignements personnels, le RGPD définit des exigences strictes en matière de déclaration de ces atteintes. Ce n'est qu'une raison de plus pour analyser de manière proactive vos vulnérabilités et limiter les cyberrisques.

Que faire si le pire scénario possible se produit? Mettre en place une stratégie de réponse aux atteintes est essentiel. Assurez-vous que les principaux membres de l'équipe savent exactement comment réagir et qui appeler dès qu'une atteinte est connue. Chaque minute compte.

Le respect de la réglementation est essentiel, mais peut parfois être difficile en raison de l'opacité et de la complexité du commerce en ligne. Être assuré ajoute un niveau supplémentaire de sécurité précieux contre les atteintes à la protection des renseignements personnels, mais comme mentionné auparavant, la réglementation ajoute un ensemble de nouveaux facteurs de risques. Ainsi, vous pourriez ajouter les « risques liés au RGPD » à votre liste de questions à poser à votre courtier au moment du renouvellement de votre police d'assurance contre les cyberrisques.