Comprendre le RGPD : comparaison entre le RGPD, la LPRPDE et la PIPA

GDPR

PIPAs

PIPEDA applies to:

• la collecte, l’utilisation et la communication de renseignements personnels par une organisation dans le cadre de ses activités commerciales dans une province qui n’a pas de lois essentiellement similaires sur la protection des renseignements personnels;
• le transfert de renseignements personnels au-delà des frontières;
• les entreprises fédérales ;; et
• la collecte, l’utilisation et la divulgation de renseignements sur les employés dans le cadre des FWUBs.

Tain jurisprudence a statué que la LPRPDE s’est application extraterritoriale lorsque, par exemple, il existe un « lien réel et substantiel » entre le Canada et l’activité entreprise dans un pays étranger.

PIPEDA ne s’applique pas aux lois provinciales qui ont été jugées essentiellement similaires à la LPRPDE.

PIPEDA

Le GDRP s’applique aux « données personnelles », à savoir « toute information relative à une personne physique identifiée ou identifiable ...; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques au physique, l’identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

The PIPAs apply to « personal information », namely « information about an identifiable individual ».

Il y a diverses exemptions en vertu de chacune des PIPAs. Par exemple:

• La PIPA de l’Alberta ne s’applique pas à : (i) la collecte, l’utilisation ou la communication des coordonnées d’affaires d’une personne si la collecte, l’utilisation ou la communication, selon le cas, a pour but de permettre à la personne d’être contactée au sujet de ses responsabilités commerciales et à aucune autre fin; ou (ii) des renseignements personnels sur la santé; et
• La PIPA de la Colombie-Britannique ne s’applique pas à : (i) les renseignements permettant de communiquer avec une personne à un lieu d’affaires; ou (ii) les renseignements préparés ou recueillis dans le cadre des responsabilités ou des activités de la personne liées à l’emploi ou à l’entreprise de la personne (mais n’inclut pas les renseignements personnels sur une personne qui n’a pas préparé ou recueilli les renseignements personnels).

PIPEDA

Consent signifie toute indication librement donnée, spécifique, informée et sans ambiguïté des souhaits d’une personne qui, par une déclaration ou par une action positive claire, signifie un accord pour le traitement de ses données personnelles.

Le RGPD prévoit qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances.

Les commissaires à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont statué que le consentement doit être « valable » (c.-à-d. qu’une personne doit comprendre ce qu’une organisation fait de ses renseignements).

Un ou avant de recueillir des renseignements personnels sur une personne, une organisation doit divulguer à la personne verbalement ou par écrit : (i) les fins de la collecte des renseignements; et (ii) le nom ou le titre du poste et les coordonnées d’une personne qui est en mesure de répondre aux questions de la personne au sujet de la collecte.

Les PIPAs reconnaissent que le consentement peut être implicite dans certains cas et que le consentement peut être considéré dans certaines circonstances spécifiques.

Les PIPAs prévoient également qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances.

PIPEDA

Personal data must be processed in a manner that « ensure appropriate security of the personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures ». Ces mesures doivent être conçues pour mettre en œuvre les principes de protection des données de manière efficace et pour intégrer les garanties nécessaires.

An organisation doit protéger les renseignements personnels qui sont sous sa garde ou sous son contrôle en prenant des dispositions de sécurité raisonnables contre des risques tels que l’accès non autorisé, la collecte, l’utilisation, la divulgation, la copie, la modification, l’élimination ou la destruction.

PIPEDA

Approprier des mesures techniques et organisationnelles doivent être mises en œuvre pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Cela peut inclure la mise en œuvre de politiques de protection des données appropriées et le respect des « codes de conduite » et des « mécanismes de certification » applicables.

Dans certaines circonstances, un contrôleur ou un sous-traitant doit désigner un « représentant » dans l’UE (c’est-à-dire une personne physique ou morale établie dans l’UE qui représente un contrôleur ou un sous-traitant en ce qui concerne leurs obligations respectives en vertu du RGPD).

Dans certains cas, un « responsable de la protection des données » doit également être nommé.

• « mettre en œuvre des procédures pour protéger les renseignements personnels;
• établir des procédures pour recevoir les plaintes et les demandes de renseignements et y répondre;
• la formation du personnel et la communication au personnel d’informations sur les politiques et les pratiques de l’organisation; et
• élaborer de l’information pour expliquer les politiques et les procédures de l’organisation ».

Une organisation doit rendre disponibles sur demande des informations écrites sur ses politiques et pratiques en matière de confidentialité.

PIPEDA

Le RGPD comprend les droits suivants pour les individus:

• le droit d’accéder à leurs informations personnelles (ainsi que des informations supplémentaires telles que les objectifs du traitement, les destinataires à qui les données personnelles ont été ou seront divulguées, et la source de leurs informations personnelles);
• le droit de faire en sorte que leurs renseignements personnels soient exacts et, au besoin, tenus à jour;
• le droit de rectification (c’est-à-dire en ce qui concerne la correction de données personnelles inexactes); et
• le droit de retirer leur consentement à tout moment.

Les droits supplémentaires comprennent :

• le droit à l’effacement (aussi connu sous le nom de droit à l’oubli);
• le droit à la portabilité des données (à savoir, la capacité de recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine et de faire transmettre ces données à un autre responsable du traitement);
• le droit à la restriction du traitement (par exemple si l’exactitude des données personnelles est contestée par l’individu); et
• le droit de ne pas être soumis à une prise de décision automatisée.

Les PIPAs comprennent les droits suivants pour les individus:

• le droit d’accéder à leurs renseignements personnels sous la garde ou le contrôle d’une organisation;
• le droit de connaître les fins auxquelles leurs renseignements ont été et sont utilisés;
• le droit de demander une correction à toute erreur ou omission à l’égard de ses renseignements personnels, lorsqu’une personne démontre avec succès l’inexactitude ou l’incomplétude de ses renseignements personnels; et
• le droit de retirer ou de modifier leur consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d’un préavis raisonnable.

PIPEDA

Généralement, une organisation peut transférer des données personnelles à un fournisseur de services tiers en dehors de l’UE dans des circonstances limitées, notamment:

• le pays non membre de l’UE a été jugé par la Commission pour fournir un « niveau adéquat de protection » en ce qui concerne les données personnelles;
• si des garanties appropriées sont prévues, et à condition que des droits exécutoires et des recours juridiques efficaces pour les individus soient disponibles, par le biais de: i) des « règles d’entreprise contraignantes »; ii) clauses standard de protection des données adoptées par la Commission; iii) un « code de conduite » approuvé; ou iv) un « mécanisme de certification » approuvé); ou
• si des garanties appropriées sont prévues par des clauses contractuelles (avec le destinataire des données personnelles dans le pays non membre de l’UE) qui sont autorisées par une autorité de surveillance compétente de l’UE.

Generally, Alberta’s PIPA provides that an organization can transfer personal information to a third party service provider in a jurisdiction outside of Canada if the organization’s policies and practices include information regarding: (i) the countries outside Canada in which such activities may occur; et (ii) les fins pour lesquelles le fournisseur de services a été autorisé à recueillir, utiliser ou divulguer des renseignements personnels. Une organisation doit rendre l’information écrite disponible au sujet de ces politiques et pratiques. Un avis doit également être donné, avant ou au moment de la collecte ou du transfert des renseignements personnels, de ce qui suit : (i) la façon dont la personne peut obtenir l’accès à des renseignements écrits sur les politiques et les pratiques de l’organisation à l’égard des fournisseurs de services à l’extérieur du Canada; et (ii) le nom ou le titre d’une personne qui est en mesure de répondre à des questions sur la collecte, l’utilisation, la divulgation ou le stockage de renseignements personnels par des fournisseurs de services à l’extérieur du Canada.

PIPEDA

Un contrôleur de données doit:

• informer l’autorité de surveillance compétente d’une atteinte à la protection des données personnelles susceptible d’entraîner un risque pour les droits et libertés des personnes physiques; et
• informer une personne d’une violation de données personnelles impliquant les données personnelles de l’individu qui est susceptible d’entraîner un risque élevé pour les droits et libertés de ladite personne.

Sà partir de 2010, la PIPA de l’Alberta stipule qu’une organisation doit aviser le commissaire à la protection de la vie privée de l’Alberta de tout incident impliquant la perte ou l’accès non autorisé ou la divulgation des renseignements personnels s’il existe un risque réel de préjudice important pour une personne en raison de la perte ou de l’accès ou de la divulgation non autorisés. Le commissaire à la protection de la vie privée peut exiger que l’organisation avise les personnes touchées.

BC’s PIPA n’a pas explicitement d’obligations de déclaration des violations.

PIPEDA

Sach autorité de surveillance a divers:

• les pouvoirs d’enquête (p. ex. pour effectuer des vérifications de la protection des données);
• des pouvoirs correctifs (p. ex. (i) pour émettre des avertissements et des réprimandes; ii) ordonner à une organisation de rendre les opérations de traitement conformes aux dispositions du GRPR; et (iii) ordonner à une organisation de communiquer une atteinte à la protection des données aux personnes concernées); et
• des pouvoirs consultatifs (p. ex. (i) pour accréditer les organismes de certification; (ii) d’adopter des clauses types de protection des données; et iii) approuver des règles d’entreprise contraignantes).

Les commissaires à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont le pouvoir de rendre diverses ordonnances, notamment:

• ordonner à une organisation de donner à une personne l’accès à ses renseignements personnels;
• confirmer une décision d’une organisation concernant l’accès aux renseignements personnels d’une personne;
• ordonner à une organisation de refuser de donner à une personne l’accès à ses renseignements personnels;
• exiger qu’une obligation imposée par PIPA soit exécutée; ou
• exiger d’une organisation qu’elle détruise les renseignements personnels recueillis en contravention de la PIPA.

PIPEDA

Depending on the circumstances, administrative fines of up to:

• 20 millions d’euros; ou
• 4% du chiffre d’affaires mondial annuel (selon le montant le plus élevé).

Une personne ou une organisation qui commet une infraction en vertu de la PIPA est passible d’une amende pouvant aller jusqu’à 10 000 $ et 100 000 $, respectivement.

En vertu de la PIPA de l’Alberta, une telle amende peut survenir si, par exemple, une organisation: (i) recueille, utilise ou divulgue des renseignements personnels en violation de la PIPA de l’Alberta; (ii) tente d’obtenir des renseignements personnels ou d’y avoir accès en contravention de la PIPA de l’Alberta; (iii) prend une action défavorable en matière d’emploi contre un employé qui a agi à titre de « dénonciateur »; ou (iv) omet de se conformer à une ordonnance rendue par le commissaire à la protection de la vie privée de l’Alberta.

Under BC’s PIPA, une telle amende peut survenir si, par exemple, une organisation: (i) utilise la tromperie ou la coercition pour recueillir des renseignements personnels; (ii) élimine les renseignements personnels dans l’intention de se soustraire à une demande d’accès; (iii) congédie, suspend, rétrograde, discipline, harcèle ou désavantage autrement un employé qui est un dénonciateur; ou (iv) omet de se conformer à une ordonnance rendue par le commissaire à la protection de la vie privée de la Colombie-Britannique.

PIPEDA

Chaque personne concernée aura le droit de: (i) un « recours judiciaire efficace » lorsqu’elle estime que ses droits en vertu du présent RGPD ont été violés; et (ii) recevoir une indemnisation pour tout dommage matériel ou non matériel découlant d’une telle violation.

Une personne a une cause d’action contre une organisation pour dommages-intérêts si: (i) le commissaire à la protection de la vie privée de l’Alberta ou de la Colombie-Britannique a rendu une ordonnance contre l’organisation; ou (ii) une personne a été reconnue coupable d’une infraction à la PIPA, et l’organisation n’a plus de droit d’appel dans les deux cas.