Le règlement général de protection de données (ou RGPD) de l'U.E. est entré en vigueur en mai dernier, promettant des amendes pour la non-conformité de 20 M€ ou de 4 % des revenus annuels mondiaux. Plusieurs organisations se sont démenées pour comprendre la façon dont leur application sera affectée par le RGPD et comment elles peuvent assurer sa conformité. Quelques mois plus tard, presque rien n'a changé. Les précédents doivent toujours être établis. Néanmoins, les questions concernant la souveraineté des données demeurent pertinentes même si la nature dynamique du stockage et du traitement des données comporte son lot d'ambiguïté. À cette fin, j'ai compilé un résumé rapide de la façon dont le RGPD décrit la souveraineté des données et ce que cela signifie pour les entreprises canadiennes.
Définitions importantes :
Le RGPD définit les concepts clés comme suit :
Contrôleurs de données : l'entité qui détermine les fins, les conditions et les moyens relatifs au traitement des données personnelles.
Traitement des données : l'entité qui traite les données pour le compte du contrôleur de données.
Personnes concernées : une personne naturelle dont les données sont traitées par un contrôleur ou par une entité de traitement des données.
Entreprise : toute entité engagée dans une activité économique, peu importe la forme légale, incluant les personnes, les partenariats, les associations, etc.
Traitement : toute opération réalisée sur des données personnelles, par exemple : la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, l'extraction, la consultation, l'utilisation, la divulgation par transmission, par diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, l'effacement ou la destruction.
Juridiction :
Tandis que les données deviennent plus portatives dans le nuage, la résidence des données s'efforce de s'aligner avec cette portabilité. Les données stockées physiquement dans un centre de données d'un pays peuvent être aussi stockées physiquement dans un centre de données d'un autre pays et peuvent concerner de l'information provenant d'un troisième pays, ce qui fait que ces données sont assujetties à la juridiction de trois pays différents. Somme toute, les données sont souvent assujetties à des juridictions qui se chevauchent et à des exigences légales distinctes. Pour une compréhension approfondie de la résidence et de la juridiction des données, lisez notre livre blanc intitulé : « La juridiction compte - même dans le nuage ».
En fin de compte, le propriétaire des données n'est pas pertinent puisque c'est l'emplacement physique du stockage qui décide des lois de quel pays ces données seront assujetties. Bien que la décision de 2014 de la Cour suprême dans Microsoft v. United States créa ce précédent sur la souveraineté des données, le RGPD a élargi l'étendue de la juridiction de l'U.E.
Centres de données
Premièrement, toutes les données stockées dans un centre de données situé dans l'Union européenne sont sous la juridiction du RGPD. De même, tout centre de données de la Norvège, du Liechtenstein et de l'Islande est sous la juridiction du RGPD.
Personnes concernées
Le RGPD a élargi son étendue au-delà du centre de données pour inclure les personnes concernées par ces données. Peu importe la situation géographique du centre de données, si son sujet est relatif à des renseignements personnels de personnes concernées dans l'U.E., les données sont assujetties au RGPD. En déclarant cela, le RGPD rejette les lois contradictoires en dehors de l'U.E. sauf si elles sont basées sur des accords internationaux. Vu que les amendes sont si punitives, tout pays stockant ses données sur le territoire de l'U.E. est forcé de s'y conformer.
Exportation des données
Qu'arrive-t-il lorsqu'une entreprise stocke les données de personnes européennes en dehors de l'U.E., particulièrement au Canada ? Le RGPD exige que les données exportées de l'U.E. doivent être munies de dispositifs de sécurité afin d'assurer qu'elles soient stockées de manière conforme. Il existe plusieurs façons d'instaurer ces dispositifs.
Certains pays peuvent être considérés comme ayant des mesures de protection adéquates en vertu de leurs propres lois, ce qui permettrait le transfert des données personnelles vers ce pays. Seuls quelques pays ont obtenu une Décision d'adéquation de la part de la Commission européenne. Le RGPD a des retombées extra territoriales et s'applique aux pays ayant obtenu une Décision d'adéquation. Les données européennes peuvent être exportées vers ces pays en respectant toujours le RGPD. Le Canada a obtenu une Décision d'adéquation, tant que les données sont limitées à des organisations commerciales. Les données stockées au Canada sont assujetties à la juridiction canadienne, et au RGPD, si elles sont relatives à une personne concernée européenne. Si un centre de données au Canada perd le contrôle et que les données sont sauvegardées dans un autre pays, les données deviennent assujetties à la juridiction de ce pays.
Les É.-U. ont aussi obtenu une Décision d'adéquation, mais elle est limitée au Bouclier de protection des données qui a été adopté par les deux gouvernements. De plus, l'Andorre, l'Argentine, les iles Féroé, la Guernesey, Israël, l'ile de Man, la Nouvelle-Zélande, la Suisse et l'Uruguay ont tous obtenu une Décision d'adéquation sans accords supplémentaires. Cela est complètement assujetti à la décision de la Commission européenne. Des négociations sont en cours avec le Japon et la Corée du Sud pour élargir cette Décision.
Allen Mendelsohn, avocat spécialisé dans l'Internet et les lois sur la vie privée, dit « que la Décision d'adéquation pour le Canada est sans doute bénéfique pour les entreprises canadiennes, permettant le transfert des données personnelles de sujets concernés européens vers le Canada, sans avoir recours à des clauses contractuelles supplémentaires ou d'autres mécanismes de protection ».
Responsabilité
Le RGPD fait la différence entre contrôleur de données et le traitement de données. Le contrôleur de données est l'entreprise qui collecte les données tandis que le traitement des données est habituellement fait par le fournisseur infonuagique. Le RGPD place la majeure partie de la responsabilité relative à la conformité entre les mains du contrôleur de données, bien que l'entité qui fait le traitement demeure responsable, dans certaines circonstances, c'est ce qui différencie le RGPD du précédent règlement européen relatif aux données. C'est l'entreprise du contrôleur qui est ultimement responsable d'assurer que les données sont conformes au RGPD en tenant compte de l'emplacement du centre de données.
Canada
En tant que fournisseur infonuagique canadien, cloud.ca est possédé, exploité et gouverné sur le territoire canadien à 100 %. Nos clients peuvent être certains que les données stockées chez nous ne quitteront pas la juridiction canadienne - que ce soit en données primaires ou les sauvegardes. Conformément au RGPD et aux lois et décisions établies auparavant en Europe, nous pouvons stocker les données personnelles de sujets de l'U.E. et nous aviserons immédiatement nos clients de toute brèche de sécurité possible. Bien que la manière dont sera interprété le RGPD reste à déterminer, pour le moment, le Canada est actuellement en conformité.
Les organisations canadiennes qui traitent des informations sensibles, notamment dans le domaine de la santé, doivent avoir confiance que leurs données sont stockées exclusivement au Canada. Lisez davantage sur certains de nos clients ou contactez-nous.