Qu'est-ce que le RGPD?
Le Règlement général sur la protection des données (RGPD), ou GDPR en anglais, est entré en vigueur le 25 mai 2018 dans l'Union européenne. Il constitue le cadre le plus strict et le plus influent au monde en matière de protection des données personnelles. Son adoption a inspiré de nombreuses législations nationales, dont la Loi 25 du Québec et le projet de loi C-27.
Le RGPD s'applique-t-il aux entreprises canadiennes?
Oui. Le RGPD a une portée extraterritoriale : il s'applique à toute organisation, y compris canadienne, qui :
- Offre des biens ou services à des personnes situées dans l'UE (même gratuitement)
- Surveille le comportement de personnes situées dans l'UE (ex. : via des cookies de suivi)
En pratique : une boutique en ligne canadienne qui expédie en Europe, un site web qui collecte des données d'utilisateurs européens, ou une entreprise SaaS avec des clients européens est soumise au RGPD.
Les 7 principes fondamentaux du RGPD
Le RGPD repose sur 7 principes :
- Licéité, loyauté et transparence — Le traitement doit avoir une base légale et être transparent.
- Limitation des finalités — Les données ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été collectées.
- Minimisation des données — Seules les données strictement nécessaires peuvent être collectées.
- Exactitude — Les données doivent être tenues à jour.
- Limitation de la conservation — Pas plus longtemps que nécessaire.
- Intégrité et confidentialité — Protection contre les traitements non autorisés et les pertes accidentelles.
- Responsabilité (accountability) — Les organisations doivent pouvoir démontrer leur conformité.
Les droits des individus selon le RGPD
Le RGPD consacre des droits individuels étendus :
- Droit d'accès (art. 15) — Obtenir une copie de vos données
- Droit de rectification (art. 16) — Faire corriger des données inexactes
- Droit à l'effacement (art. 17) — Le célèbre "droit à l'oubli"
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20) — Récupérer ses données dans un format structuré
- Droit d'opposition (art. 21) — S'opposer au profilage
- Droits liés aux décisions automatisées (art. 22)
Le RGPD a prouvé qu'une réglementation stricte n'empêche pas l'innovation — elle oblige seulement à mieux respecter les droits fondamentaux des individus. C'est ce modèle que le Québec et le Canada cherchent à reproduire.
Sanctions : des amendes records
Les sanctions du RGPD sont parmi les plus élevées au monde :
- Jusqu'à 10 M€ ou 2 % du CA mondial pour les infractions moins graves (ex. : absence de registre, non-désignation du DPO)
- Jusqu'à 20 M€ ou 4 % du CA mondial pour les infractions les plus graves (ex. : traitement illégal, violation du consentement)
Quelques amendes emblématiques :
- Meta (Instagram) : 405 M€ (2022, données d'enfants)
- Amazon Europe : 746 M€ (2021, publicité ciblée)
- Google Ireland : 150 M€ (2022, refus de cookies)
RGPD vs Loi 25 : comparaison rapide
Les deux lois sont très proches dans leurs principes :
| Aspect | RGPD (UE) | Loi 25 (Québec) |
|---|---|---|
| Territoire | Union européenne + portée mondiale | Québec + portée mondiale |
| Amende maximale | 20 M€ ou 4 % CA mondial | 25 M$ ou 4 % CA mondial |
| Délégué / Responsable | DPO (selon cas) | Responsable obligatoire |
| Droit à l'oubli | Oui | Oui |
| Portabilité | Oui | Oui |
| EFVP / AIPD | AIPD obligatoire | EFVP obligatoire |
Ressources officielles sur le RGPD
Pour en savoir plus :
- Commission européenne : commission.europa.eu
- Comité européen de la protection des données : edpb.europa.eu
- CNIL (autorité française) : cnil.fr
- Notre article sur PIPEDA vs C-27 pour la situation canadienne