Article publié dans l'édition Hiver 2020 de Gestion

Depuis le 25 mai 2018, date de l’entrée en vigueur du règlement général sur la protection des données (RGPD), les citoyens européens ont les coudées franches pour demander des comptes aux entreprises qui collectent leurs informations personnelles.

LIRE AUSSI : « Cybersécurité : partager ou protéger les connaissances ? »

Mais comment cette législation touche-t-elle les entreprises canadiennes ? Gestion fait le point avec Alina Dulipovici, professeure agrégée au Département de technologies de l’information de HEC Montréal.

L’adoption du RGPD a bousculé le monde des entreprises, y compris au canada. Pourquoi ?

Alina Dulipovici : Le RGPD ne s’applique pas qu’aux entreprises localisées en Europe : il concerne toute entreprise ayant des clients qui proviennent de l’Union européenne [UE]. Il s’applique par exemple à une compagnie canadienne dont le site Internet génère des ventes auprès de clients de l’UE et même à une entreprise canadienne dont le site Internet est consulté par des internautes de l’UE qui n’achètent rien.

Il suffit en effet que le site Web enregistre certaines de leurs données personnelles, que ce soit leur nom, leur courriel ou des informations sur le système d’exploitation ou sur le navigateur de leur ordinateur. Quand on considère la portée de ce règlement, il ne reste pas beaucoup d’entreprises qui n’y soient pas soumises!

N’y avait-il donc pas de cadre législatif au canada dans ce domaine ?

a. D. : Si, mais la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est maintenant désuète, tandis que le deuxième texte qui porte sur cette question, soit la Charte canadienne du numérique, agit surtout comme une boussole pour les entreprises, car il n’est contraignant d’aucune façon. À l’heure actuelle, le RGPD est le texte de loi de référence qui oblige les entreprises à adopter des mesures concrètes en ce sens.

Ce règlement révolutionne-t-il la culture d’entreprise en matière de traitement des données personnelles ?

a. D. : Oui. Les entreprises soumises au RGPD, quelle que soit leur taille, doivent revoir l’ensemble de leurs pratiques selon les principes éthiques du règlement : toute collecte de données doit avoir un objectif clair, être limitée dans le temps, se faire au su du consommateur et être réalisée en toute transparence.

Ceci est d’autant plus vrai que la non-conformité au RGPD peut mener à des sanctions financières parfois très lourdes. Dans les cas les plus graves, les amendes peuvent s’élever à 4 % du chiffre d’affaires mondial ou à 20 millions d’euros [30 millions $ CA], selon le montant le plus élevé. Google a déjà écopé d’une amende de 50 millions d’euros [75 millions $ CA] et la chaîne hôtelière Marriott en a reçu une de 99 millions de livres sterling [160 millions $ CA] parce qu’elles ne se conformaient pas au RGPD ; c’est beaucoup d’argent.

Est-il facile de se conformer au RGPD ? Quels sont les défis pour les entreprises canadiennes ?

a. D. : Ce n’est facile ni au Canada ni ailleurs. En ce qui concerne la mise en œuvre de ces nouvelles règles, les organisations doivent trouver les ressources humaines adéquates pour mener à bien cette transition. Elles doivent non seulement embaucher des experts en conformité qui sachent appliquer le RGPD dans leur propre contexte organisationnel mais aussi créer une nouvelle fonction au sein de l’équipe de gestionnaires, soit celle de chef de la protection des données, afin de superviser l’ensemble des opérations.

Il y a également des défis techniques : les pratiques actuelles en matière de collecte de données complexifient la traçabilité des informations recueillies. Les modèles d’affaires se construisent en effet sur la base de collaborations et de partenariats entre plusieurs organisations. Ainsi, une entreprise peut collecter des données, une autre les analyser et une troisième les acheter.

Or, le RGPD stipule que lorsqu’un client exige d’une organisation qu’elle lui fournisse les données collectées à son sujet ou qu’elle les supprime purement et simplement, celle-ci doit s’assurer de communiquer cette requête à tous les partenaires de la chaîne d’utilisation.

De plus, lorsqu’une entreprise crée un algorithme pour traiter de gigantesques bases de données, comment lui désapprendre à traiter une donnée particulière parmi toutes les autres ? D’un point de vue technique, il n’y a pas encore de solution. Les experts y travaillent.

Cette demande renforcée en matière de traçabilité pourrait-elle aboutir à des mécanismes de surveillance entre les partenaires ?

a. D. : Fort probablement, parce que le RGPD a imposé une responsabilité partagée entre chacun d’eux. Les entreprises ont donc intérêt à collaborer, non plus uniquement pour collecter et exploiter les données mais aussi pour se protéger contre les sanctions découlant des failles sécuritaires et des fuites potentielles.

Le RGPD est entré en vigueur en mai 2018. Son influence se fait-elle déjà sentir ici ?

a. D. : Oui. Au Canada, on constate un renforcement de la sensibilisation à l’utilisation éthique des données. Avant le RGPD, c’était le Far West : on pouvait collecter toutes les données qu’on voulait, sans objectif clairement défini. Ce n’est plus le cas aujourd’hui.

Cela dit, la conformité totale demande du temps. Elle requiert un véritable effort collaboratif au sein des organisations. À ce titre, les valeurs éthiques qui sous-tendent les cultures organisationnelles doivent faire l’objet d’une attention particulière.

Le RGPD représente-t-il un progrès sur tous les plans ?

a. D. : À mon avis, oui. Je ne suis d’ailleurs pas la seule à être en faveur du RGPD : le concept d’éthique pour les affaires numériques [digital ethics] circule au sein des organisations depuis deux ou trois ans. Il s’agit de promouvoir de bonnes pratiques organisationnelles lorsqu’on utilise l’environnement numérique (médias sociaux, Internet, etc.).

Si le concept manque d’indications claires quant à son application, le fait que son adoption soit de plus en plus courante m’apparaît garante de l’émergence d’une éthique du numérique chez les gestionnaires et chez les professionnels. Ainsi, les entreprises qui mettront en œuvre ces bonnes pratiques tisseront des liens de confiance plus forts avec leur clientèle, ce qui générera des retombées positives à plus long terme.

LIRE AUSSI : « Cybersécurité : misez sur la prévention ! »

Le RGPD est un règlement extrêmement bien fait, théoriquement du moins : il protège les consommateurs et les données personnelles et il ne comporte pas de zones grises qu’on pourrait devoir éclaircir. En tout cas, ça va assez loin pour le Canada puisque, d’un point de vue technique, nous ne sommes pas encore à la hauteur de ce changement! Mais on y travaille.