Comprendre le RGPD : comparaison entre le RGPD, la LPRPDE et la PIPA

GDPR

PIPEDA

PIPAs

Le RGPD s’applique aux personnes physiques ou morales, à l’autorité publique, à l’agence ou à tout autre organisme ayant un établissement dans l’UE.

Le RGPD a un effet extraterritorial; il s’applique à toute personne physique ou morale, autorité publique, agence ou autre organisme en dehors de l’UE qui:

• cible les individus dans l’UE en offrant des biens ou des services (qu’un paiement soit requis ou non); ou
• surveille le comportement des individus dans l’UE (où ce comportement a lieu dans l’UE).

PIPEDA applies to:

• la collecte, l’utilisation et la communication de renseignements personnels par une organisation dans le cadre de ses activités commerciales dans une province qui n’a pas de lois essentiellement similaires sur la protection des renseignements personnels;
• le transfert de renseignements personnels au-delà des frontières;
• les entreprises fédérales ;; et
• la collecte, l’utilisation et la divulgation de renseignements sur les employés dans le cadre des FWUBs.

Tain jurisprudence a statué que la LPRPDE s’est application extraterritoriale lorsque, par exemple, il existe un « lien réel et substantiel » entre le Canada et l’activité entreprise dans un pays étranger.

PIPEDA ne s’applique pas aux lois provinciales qui ont été jugées essentiellement similaires à la LPRPDE.

The PIPAs applies to the collection, use and disclosure of personal information by an organization that occur within Alberta/BC.

The Alberta PIPA ne s’applique qu’aux organismes à but non lucratif à l’égard de leurs activités commerciales.

Les PIPAs ont été jugées essentiellement similaires à la LPRPDE.

GDPR

PIPEDA

PIPAs

Le GDRP s’applique aux « données personnelles », à savoir « toute information relative à une personne physique identifiée ou identifiable ...; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques au physique, l’identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

PIPEDA applies to « personal information », namely « information about an identifiable person » (other than business contact information of an individual that an organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession).

The PIPAs apply to « personal information », namely « information about an identifiable individual ».

Il y a diverses exemptions en vertu de chacune des PIPAs. Par exemple:

• La PIPA de l’Alberta ne s’applique pas à : (i) la collecte, l’utilisation ou la communication des coordonnées d’affaires d’une personne si la collecte, l’utilisation ou la communication, selon le cas, a pour but de permettre à la personne d’être contactée au sujet de ses responsabilités commerciales et à aucune autre fin; ou (ii) des renseignements personnels sur la santé; et
• La PIPA de la Colombie-Britannique ne s’applique pas à : (i) les renseignements permettant de communiquer avec une personne à un lieu d’affaires; ou (ii) les renseignements préparés ou recueillis dans le cadre des responsabilités ou des activités de la personne liées à l’emploi ou à l’entreprise de la personne (mais n’inclut pas les renseignements personnels sur une personne qui n’a pas préparé ou recueilli les renseignements personnels).

GDPR

PIPEDA

PIPAs

Consent signifie toute indication librement donnée, spécifique, informée et sans ambiguïté des souhaits d’une personne qui, par une déclaration ou par une action positive claire, signifie un accord pour le traitement de ses données personnelles.

Le RGPD prévoit qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances.

La connaissance et le consentement d’une personne sont généralement requis pour la collecte, l’utilisation ou la divulgation de ses renseignements personnels. Un tel consentement n’est valide que s’il est raisonnable de s’attendre à ce qu’une personne comprenne la nature, le but et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquels elle consent.

PIPEDA reconnaît que le consentement peut être implicite dans certains cas et que le consentement peut être considéré dans certaines circonstances spécifiques.

PIPEDA prévoit également qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances.

Les commissaires à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont statué que le consentement doit être « valable » (c.-à-d. qu’une personne doit comprendre ce qu’une organisation fait de ses renseignements).

Un ou avant de recueillir des renseignements personnels sur une personne, une organisation doit divulguer à la personne verbalement ou par écrit : (i) les fins de la collecte des renseignements; et (ii) le nom ou le titre du poste et les coordonnées d’une personne qui est en mesure de répondre aux questions de la personne au sujet de la collecte.

Les PIPAs reconnaissent que le consentement peut être implicite dans certains cas et que le consentement peut être considéré dans certaines circonstances spécifiques.

Les PIPAs prévoient également qu’il existe des exceptions à l’exigence de consentement dans certaines circonstances.

GDPR

PIPEDA

PIPAs

Personal data must be processed in a manner that « ensure appropriate security of the personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures ». Ces mesures doivent être conçues pour mettre en œuvre les principes de protection des données de manière efficace et pour intégrer les garanties nécessaires.

Approprier la sensibilité de l’information, une organisation doit adopter des mesures de sécurité pour protéger les renseignements personnels dont elle a la garde et le contrôle contre la perte ou le vol, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés. Les méthodes de protection doivent comprendre des mesures physiques, organisationnelles et technologiques.

An organisation doit protéger les renseignements personnels qui sont sous sa garde ou sous son contrôle en prenant des dispositions de sécurité raisonnables contre des risques tels que l’accès non autorisé, la collecte, l’utilisation, la divulgation, la copie, la modification, l’élimination ou la destruction.

GDPR

PIPEDA

PIPAs

Approprier des mesures techniques et organisationnelles doivent être mises en œuvre pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Cela peut inclure la mise en œuvre de politiques de protection des données appropriées et le respect des « codes de conduite » et des « mécanismes de certification » applicables.

Dans certaines circonstances, un contrôleur ou un sous-traitant doit désigner un « représentant » dans l’UE (c’est-à-dire une personne physique ou morale établie dans l’UE qui représente un contrôleur ou un sous-traitant en ce qui concerne leurs obligations respectives en vertu du RGPD).

Dans certains cas, un « responsable de la protection des données » doit également être nommé.

An organisation est responsable de tout renseignement personnel sous son contrôle et doit désigner une ou plusieurs personnes qui sont responsables de la conformité de l’organisation en matière de protection de la vie privée.

Organisations doivent mettre en œuvre les politiques et les pratiques applicables pour donner effet à la LPRPDE, y compris :

• « mettre en œuvre des procédures pour protéger les renseignements personnels;
• établir des procédures pour recevoir les plaintes et les demandes de renseignements et y répondre;
• la formation du personnel et la communication au personnel d’informations sur les politiques et les pratiques de l’organisation; et
• élaborer de l’information pour expliquer les politiques et les procédures de l’organisation ».

An organisation est responsable de tous les renseignements personnels sous sa garde et son contrôle, et doit désigner une ou plusieurs personnes qui sont responsables de la conformité de l’organisation en matière de protection de la vie privée.

Organisations doivent mettre en œuvre les politiques et les pratiques applicables pour donner effet aux PIPA.

Une organisation doit rendre disponibles sur demande des informations écrites sur ses politiques et pratiques en matière de confidentialité.

GDPR

PIPEDA

PIPAs

Le RGPD comprend les droits suivants pour les individus:

• le droit d’accéder à leurs informations personnelles (ainsi que des informations supplémentaires telles que les objectifs du traitement, les destinataires à qui les données personnelles ont été ou seront divulguées, et la source de leurs informations personnelles);
• le droit de faire en sorte que leurs renseignements personnels soient exacts et, au besoin, tenus à jour;
• le droit de rectification (c’est-à-dire en ce qui concerne la correction de données personnelles inexactes); et
• le droit de retirer leur consentement à tout moment.

Les droits supplémentaires comprennent :

• le droit à l’effacement (aussi connu sous le nom de droit à l’oubli);
• le droit à la portabilité des données (à savoir, la capacité de recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine et de faire transmettre ces données à un autre responsable du traitement);
• le droit à la restriction du traitement (par exemple si l’exactitude des données personnelles est contestée par l’individu); et
• le droit de ne pas être soumis à une prise de décision automatisée.

PIPEDA includes the following rights for individuals:

• le droit d’accéder à leurs renseignements personnels sous la garde ou le contrôle d’une organisation;
• le droit de faire en sorte que leurs renseignements personnels soient exacts, complets et à jour (au besoin aux fins pour lesquelles ils doivent être utilisés);
• le droit de faire modifier ses renseignements personnels (par la correction, la suppression ou l’ajout de renseignements) lorsqu’une personne réussit à démontrer l’inexactitude ou l’incomplétude de ses renseignements personnels; et
• le droit de retirer leur consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d’un préavis raisonnable.

Les PIPAs comprennent les droits suivants pour les individus:

• le droit d’accéder à leurs renseignements personnels sous la garde ou le contrôle d’une organisation;
• le droit de connaître les fins auxquelles leurs renseignements ont été et sont utilisés;
• le droit de demander une correction à toute erreur ou omission à l’égard de ses renseignements personnels, lorsqu’une personne démontre avec succès l’inexactitude ou l’incomplétude de ses renseignements personnels; et
• le droit de retirer ou de modifier leur consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d’un préavis raisonnable.

GDPR

PIPEDA

PIPAs

Généralement, une organisation peut transférer des données personnelles à un fournisseur de services tiers en dehors de l’UE dans des circonstances limitées, notamment:

• le pays non membre de l’UE a été jugé par la Commission pour fournir un « niveau adéquat de protection » en ce qui concerne les données personnelles;
• si des garanties appropriées sont prévues, et à condition que des droits exécutoires et des recours juridiques efficaces pour les individus soient disponibles, par le biais de: i) des « règles d’entreprise contraignantes »; ii) clauses standard de protection des données adoptées par la Commission; iii) un « code de conduite » approuvé; ou iv) un « mécanisme de certification » approuvé); ou
• si des garanties appropriées sont prévues par des clauses contractuelles (avec le destinataire des données personnelles dans le pays non membre de l’UE) qui sont autorisées par une autorité de surveillance compétente de l’UE.

Generally, an organization may transfer personal information to a third party service provider in a jurisdiction outside of Canada if the organization: (i) is satisfied that the service provider has policies and processes in place to ensure that the information in its care is properly safeguarded at all times (including training for its staff and effective security measures); (ii) utilise des moyens contractuels ou autres pour « fournir un niveau de protection comparable pendant que les informations sont traitées par le tiers »; (iii) a le droit de vérifier et d’inspecter la façon dont le tiers traite et stocke les renseignements personnels; et (iv) au moment où les renseignements personnels sont recueillis auprès d’une personne, indique clairement que ses renseignements peuvent être traités dans un pays étranger et qu’ils peuvent être accessibles aux autorités chargées de l’application de la loi et de la sécurité nationale de cette juridiction.

Generally, Alberta’s PIPA provides that an organization can transfer personal information to a third party service provider in a jurisdiction outside of Canada if the organization’s policies and practices include information regarding: (i) the countries outside Canada in which such activities may occur; et (ii) les fins pour lesquelles le fournisseur de services a été autorisé à recueillir, utiliser ou divulguer des renseignements personnels. Une organisation doit rendre l’information écrite disponible au sujet de ces politiques et pratiques. Un avis doit également être donné, avant ou au moment de la collecte ou du transfert des renseignements personnels, de ce qui suit : (i) la façon dont la personne peut obtenir l’accès à des renseignements écrits sur les politiques et les pratiques de l’organisation à l’égard des fournisseurs de services à l’extérieur du Canada; et (ii) le nom ou le titre d’une personne qui est en mesure de répondre à des questions sur la collecte, l’utilisation, la divulgation ou le stockage de renseignements personnels par des fournisseurs de services à l’extérieur du Canada.

>BC’s PIPA ne traite pas explicitement du transfert de renseignements personnels à un tiers fournisseur de services dans une juridiction à l’extérieur du Canada. Néanmoins, cette loi semble envisager la même chose par le fait qu’une organisation est « responsable des renseignements personnels sous son contrôle, y compris les renseignements personnels qui ne sont pas sous sa garde ».

GDPR

PIPEDA

PIPAs

Un contrôleur de données doit:

• informer l’autorité de surveillance compétente d’une atteinte à la protection des données personnelles susceptible d’entraîner un risque pour les droits et libertés des personnes physiques; et
• informer une personne d’une violation de données personnelles impliquant les données personnelles de l’individu qui est susceptible d’entraîner un risque élevé pour les droits et libertés de ladite personne.

Commencing on November 1, 2018, an organization must:

• signaler au commissaire fédéral à la protection de la vie privée toute atteinte aux mesures de sécurité mettant en cause des renseignements personnels sous son contrôle s’il est raisonnable, dans les circonstances, de croire que l’atteinte crée un risque réel de préjudice grave pour une personne; et
• aviser une personne de toute violation des mesures de sécurité mettant en cause ses renseignements personnels s’il est raisonnable, dans les circonstances, de croire que l’atteinte crée un risque réel de préjudice grave pour la personne.

Sà partir de 2010, la PIPA de l’Alberta stipule qu’une organisation doit aviser le commissaire à la protection de la vie privée de l’Alberta de tout incident impliquant la perte ou l’accès non autorisé ou la divulgation des renseignements personnels s’il existe un risque réel de préjudice important pour une personne en raison de la perte ou de l’accès ou de la divulgation non autorisés. Le commissaire à la protection de la vie privée peut exiger que l’organisation avise les personnes touchées.

BC’s PIPA n’a pas explicitement d’obligations de déclaration des violations.

GDPR

PIPEDA

PIPAs

Sach autorité de surveillance a divers:

• les pouvoirs d’enquête (p. ex. pour effectuer des vérifications de la protection des données);
• des pouvoirs correctifs (p. ex. (i) pour émettre des avertissements et des réprimandes; ii) ordonner à une organisation de rendre les opérations de traitement conformes aux dispositions du GRPR; et (iii) ordonner à une organisation de communiquer une atteinte à la protection des données aux personnes concernées); et
• des pouvoirs consultatifs (p. ex. (i) pour accréditer les organismes de certification; (ii) d’adopter des clauses types de protection des données; et iii) approuver des règles d’entreprise contraignantes).

En vertu de la LPRPDE, la commissaire fédérale à la protection de la vie privée peut faire des recommandations non contraignantes aux organisations, mais ne peut pas émettre d’ordonnances exécutoires ou imposer des sanctions administratives pécuniaires.

Les commissaires à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont le pouvoir de rendre diverses ordonnances, notamment:

• ordonner à une organisation de donner à une personne l’accès à ses renseignements personnels;
• confirmer une décision d’une organisation concernant l’accès aux renseignements personnels d’une personne;
• ordonner à une organisation de refuser de donner à une personne l’accès à ses renseignements personnels;
• exiger qu’une obligation imposée par PIPA soit exécutée; ou
• exiger d’une organisation qu’elle détruise les renseignements personnels recueillis en contravention de la PIPA.

GDPR

PIPEDA

PIPAs

Depending on the circumstances, administrative fines of up to:

• 20 millions d’euros; ou
• 4% du chiffre d’affaires mondial annuel (selon le montant le plus élevé).

Fines of up to $100,000 can be imposed by the Federal Court in three circumstances: (i) if an organization dismiss, suspend, rétrograde, discipline, harasse ou autrement désavantage un employé qui a agi à titre de « dénonciateur »; (ii) si une organisation ne conserve pas les renseignements personnels qui font l’objet d’une demande aussi longtemps que nécessaire pour permettre à la personne d’épuiser tout recours qu’elle pourrait avoir; ou (iii) si une personne fait obstruction au commissaire fédéral à la protection de la vie privée dans l’enquête sur une plainte ou dans la réalisation d’une vérification.

Une personne ou une organisation qui commet une infraction en vertu de la PIPA est passible d’une amende pouvant aller jusqu’à 10 000 $ et 100 000 $, respectivement.

En vertu de la PIPA de l’Alberta, une telle amende peut survenir si, par exemple, une organisation: (i) recueille, utilise ou divulgue des renseignements personnels en violation de la PIPA de l’Alberta; (ii) tente d’obtenir des renseignements personnels ou d’y avoir accès en contravention de la PIPA de l’Alberta; (iii) prend une action défavorable en matière d’emploi contre un employé qui a agi à titre de « dénonciateur »; ou (iv) omet de se conformer à une ordonnance rendue par le commissaire à la protection de la vie privée de l’Alberta.

Under BC’s PIPA, une telle amende peut survenir si, par exemple, une organisation: (i) utilise la tromperie ou la coercition pour recueillir des renseignements personnels; (ii) élimine les renseignements personnels dans l’intention de se soustraire à une demande d’accès; (iii) congédie, suspend, rétrograde, discipline, harcèle ou désavantage autrement un employé qui est un dénonciateur; ou (iv) omet de se conformer à une ordonnance rendue par le commissaire à la protection de la vie privée de la Colombie-Britannique.

GDPR

PIPEDA

PIPAs

Chaque personne concernée aura le droit de: (i) un « recours judiciaire efficace » lorsqu’elle estime que ses droits en vertu du présent RGPD ont été violés; et (ii) recevoir une indemnisation pour tout dommage matériel ou non matériel découlant d’une telle violation.

Dans certaines circonstances, la Cour fédérale peut ordonner à une organisation de corriger ses pratiques en matière de protection de la vie privée et d’accorder des dommages-intérêts à un plaignant.

Une personne a une cause d’action contre une organisation pour dommages-intérêts si: (i) le commissaire à la protection de la vie privée de l’Alberta ou de la Colombie-Britannique a rendu une ordonnance contre l’organisation; ou (ii) une personne a été reconnue coupable d’une infraction à la PIPA, et l’organisation n’a plus de droit d’appel dans les deux cas.