Tout doute que le monde de la protection des données a profondément changé lorsque le Règlement général sur la protection des données (RGPD) de l'Union européenne est entré en vigueur le 25 mai 2018, a été fermement dissipé lorsque le Bureau du commissaire à l'information (ICO) du Royaume-Uni a publié un avis de son intention d'imposer à British Airways une amende record de 183,39 millions de livres sterling (300 millions de dollars canadiens) pour des infractions à cette loi. Alors que le RGPD prévoit des pénalités allant jusqu'à 4,0% du chiffre d'affaires annuel mondial d'une organisation, l'amende proposée par British Airways est proche de 1,5% de son chiffre d'affaires mondial de 2017.
L'enquête de l'ICO a révélé que les « mauvaises dispositions de sécurité » de British Airways étaient responsables d'un cyberincident en juin 2018, qui a permis au trafic des utilisateurs vers le site Web de la compagnie aérienne d'être détourné vers un site frauduleux où les informations personnelles d'environ 500 000 personnes ont été récoltées par des attaquants.
La compagnie aérienne aura l'occasion de faire des représentations auprès de l'OIC quant aux conclusions et à la sanction proposées; mais cette annonce et d'autres annonces récentes du régulateur britannique mettent en évidence le passif potentiellement important qui peut être imposé en vertu du GDPR, non seulement pour les organisations qui ont un établissement dans l'Union européenne, mais aussi pour d'autres organisations. En effet, le RGPD a un effet extraterritorial car il est destiné à s'appliquer à toute personne physique ou morale, autorité publique, agence ou autre organisme en dehors de l'Union européenne qui:
- cible les individus dans l'Union européenne en offrant des biens ou des services (qu'un paiement soit requis ou non); ou
- surveille le comportement des individus dans l'Union européenne (où ce comportement a lieu dans l'Union européenne).
Compte tenu de l'application extraterritoriale radicale du RGPD, ainsi que des amendes importantes qui peuvent être imposées en vertu de celui-ci, les organisations canadiennes sont averties d'être conscientes de l'application potentielle du RGPD et d'évaluer périodiquement si cette loi peut s'appliquer à leurs opérations.
Si vous souhaitez en savoir plus sur les effets du RGPD ou d'autres régimes réglementaires de protection des données et de confidentialité sur votre entreprise, les membres de notre équipe Équipe protection et gouvernance des données peuvent vous aider et, le cas échéant, vous diriger vers des conseils européens expérimentés.
