Loi sur la protection des renseignements personnels Canada LPRPDE et GDPR : Une comparaison guidée de chaque loi
Les informations ci-dessous permettent de comparer les principales dispositions de la loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) avec le règlement général sur la protection des données (RGPD) de l’UE. L’objectif est de vous aider à déterminer s’il existe une duplication des efforts opérationnels que vous pouvez éviter si vous migrez d’un système à l’autre ou si vous êtes en train de mélanger les deux au sein de votre organisation.
Dans l’état actuel des choses, le Canada bénéficie d’une désignation d’adéquation partielle lorsqu’il facilite les transferts de données de l’UE vers le Canada. Il convient de noter que cette désignation ne s’applique qu’aux organisations canadiennes soumises à la LPRPDE en ce qui concerne les données transférées. Bien que cela puisse faciliter les problèmes de conformité pour certaines entreprises ou organisations, les transferts de données ne sont que la partie émergée de l’iceberg en ce qui concerne les obligations de conformité au titre du GDPR. Au-delà des transferts, le GDPR comporte quelques aspects qui s’appliquent aux organisations canadiennes qui font des affaires dans l’UE ou qui traitent des données de résidents de l’UE. Les informations suivantes identifient les similitudes et les différences opérationnelles auxquelles les entreprises canadiennes peuvent s’attendre, si elles sont soumises aux deux législations.
Utiliser le consentement comme base juridique
L’une des différences opérationnelles les plus significatives réside dans la manière dont la LPRPDE et le GDPR abordent le consentement en tant que base juridique pour le traitement des données.
En ce qui concerne la LPRPDE, le consentement est une caractéristique majeure de cette loi. À quelques exceptions près, le consentement d’une personne est nécessaire pour la collecte, l’utilisation et la divulgation de toute information personnelle.
La LPRPDE a été modifiée en 2015 pour inclure l’article 6.1, qui stipule que le consentement d’une personne n’ est valable que s’il a été raisonnablement attendu et compris en ce qui concerne la nature, l’objet et les conséquences des données demandées.
En tant qu’organisation, vous aurez toujours le choix opérationnel de demander un consentement explicite ou implicite, mais il est entendu que le consentement explicite reste le choix par défaut. L’identification de la forme appropriée de consentement dépend de ce qui est considéré comme sensible en ce qui concerne les informations personnelles et des attentes raisonnables de l’individu (réf. LPRPDE, annexe 1, cl. 4.3.5). Pour fournir un produit ou un service à une personne, on ne peut exiger d’elle qu’elle consente à la collecte et à l’utilisation d’informations autres que celles qui sont nécessaires pour mener à bien la transaction avec elle.
Le GDPR est peut-être plus souple que la PIPEDA à certains égards, car il permet aux organisations de collecter, d’utiliser et de divulguer des données à caractère personnel sur la base d’autres facteurs, tels que l’exécution d’un contrat ou les intérêts légitimes. Contrairement au Canada, où le consentement est le seul facteur de collecte, d’utilisation et de divulgation (sauf exceptions limitées), les organisations qui cherchent à créer des programmes de conformité au GDPR, chercheront très probablement d’autres facteurs pour traiter les données de l’UE. À cet égard, les exigences en matière de consentement sont telles que les organisations ne l’utilisent qu’avec parcimonie comme facteur de traitement des données. Principalement parce qu’il n’existe pas de concept de consentement implicite, le consentement devant résulter d’un acte affirmatif de la part de l’individu. Deuxièmement, vous ne pouvez pas intégrer le consentement dans un contrat. Il doit être donné à chaque fois pour chaque utilisation des informations personnelles. Troisièmement, il doit être donné librement. Le GDPR stipule que le consentement ne sera pas justifié pour le traitement s’il y a un déséquilibre évident des pouvoirs. Comme dans le cas de la LPRPDE, le consentement n’est pas donné librement lorsqu’une organisation recueille plus d’informations personnelles que nécessaire.
Les organisations ou entreprises soumises au GDPR doivent également se demander si la personne qui donne son consentement a réellement la capacité de le faire. Contrairement au GDPR, la PIPEDA ne prévoit pas d’âge minimum pour le consentement. Avec la LPRPDE, l’âge est un facteur pertinent pour déterminer si le consentement éclairé a été obtenu. Le commissaire à la protection de la vie privée du Canada a indiqué qu’il serait trop difficile d’obtenir le consentement d’enfants de moins de 13 ans ; toutefois, il n’existe pas de seuil d’âge strict. En revanche, le GDPR fixe un seuil de seize ans pour le consentement. Chaque pays peut toutefois abaisser l’âge du consentement entre 13 et 16 ans.
Droit à l’effacement des données
Pour le GDPR, l’article 17 accorde aux individus un droit à l’oubli. Cet article permet aux individus d’exiger des organisations qu’elles effacent toutes les informations personnelles dans un certain nombre de circonstances. Si les données personnelles obtenues ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées (ou traitées), l’organisation devra les effacer. Cela s’applique également aux personnes qui retirent leur consentement et pour lesquelles il n’existe pas d’autres motifs légaux de poursuivre le traitement des données. En ce qui concerne les sites publics des responsables du traitement (comme les sites de médias sociaux), le responsable du traitement est tenu de prendre toutes les mesures raisonnables pour informer tous les autres responsables du traitement qui ont reçu des informations de la demande de retrait du consentement.
La LPRPDE contient également des dispositions relatives à l’obligation de détruire les données. La différence notable entre l’article 17 du GDPR et le principe 4.5 de la PIPEDA réside dans le fait que la PIPEDA n’exige pas que l’organisation contacte toute autre organisation à laquelle elle a divulgué des informations pour l’informer de la demande d’effacement.
En outre, il n’est pas clair si le GDPR autorise la conservation afin de se conformer aux lois étrangères en matière de conservation. Cette question se pose pour les entreprises multinationales qui peuvent être soumises à des lois sur la conservation des données différentes de celles en vigueur en Europe.
La LPRPDE ne couvre pas non plus le même champ d’application que le GDPR. Certains ont fait valoir que la LPRPDE ne s’appliquait pas aux moteurs de recherche simplement parce que l’activité de recherche et d’indexation du contenu des sites Web n’est pas considérée comme une activité commerciale. Ainsi, le principe 4.5 ne s’applique pas à la suppression des liens entre les résultats de recherche et les moteurs de recherche. En revanche, la situation peut être différente en ce qui concerne les moteurs de recherche internes d’un site web commercial.
Les systèmes d’information sur les ressources humaines (SIRH) ont gagné une popularité massive au cours des 15 dernières années en tant qu’excellente solution pour la gestion des données relatives aux employés. Plus récemment, ces systèmes ont été de plus en plus déployés sous forme de solutions basées sur le cloud, ce qui permet aux organisations multinationales de bénéficier de gains d’efficacité en utilisant une plateforme commune pour gérer le processus des employés, y compris l’intégration, la paie, les avantages sociaux, les fonctions comptables et l’activité des employés liée aux handicaps, etc.
Les informations traitées dans les plateformes SIRH sont très difficiles à gérer pour les multinationales dans le cadre du GDPR. Pour les organisations canadiennes, il est essentiel de reconnaître que la LPRPDE ne réglemente que la collecte, l’utilisation et la communication de renseignements personnels. en ce qui concerne les travaux, les entreprises et les commerces fédéraux. Considérez ces employeurs comme des compagnies aériennes, des banques, des sociétés de transport maritime et d’autres employeurs soumis à la réglementation fédérale. Il s’agit évidemment d’un sous-ensemble très limité de l’économie canadienne. En revanche, la grande majorité des employeurs sont régis par la législation provinciale. À l’exception de la Colombie-Britannique, de l’Alberta et du Québec, toutes les autres provinces ne sont pas soumises à des lois sur la protection de la vie privée en ce qui concerne les données relatives aux employés.
En revanche, les données relatives aux employés entrent pleinement dans le champ d’application du GDPR. L’article 81 autorise les États membres de l’UE à adopter des lois portant expressément sur les données relatives aux employés, qui peuvent être plus strictes que celles prévues par le GDPR. Il est important de noter que le consentement n’est généralement pas une base viable pour la collecte et l’utilisation des informations personnelles des employés, car cette forme de consentement n’est pas considérée comme étant donnée librement, compte tenu du déséquilibre de pouvoir important entre l’employé et l’employeur. Il est vrai que les employeurs peuvent avoir des intérêts légitimes à traiter des données, par exemple dans le cadre de la paie ou à des fins fiscales, mais les sociétés mères ou affiliées doivent être prudentes. Si ces entreprises utilisent ces données à des fins de planification commerciale ou à d’autres fins, elles devront peut-être vérifier si elles ont des motifs légaux, en vertu du GDPR, d’utiliser les données sans consentement.
En outre, si les données à traiter sont transférées à une entreprise fédérale canadienne, le transfert de données ne sera plus soumis à la désignation partielle d’adéquation du Canada par la Commission européenne. Compte tenu de ce statut, il serait nécessaire de mettre en place des clauses contractuelles types ou des règles d’entreprise contraignantes.
Réflexions finales
Les lois sur la protection de la vie privée au Canada sont déjà assez solides ; cependant, il est important de noter que le GDPR est suffisamment différent de la PIPEDA pour que les organisations soient conscientes et examinent les deux en détail afin d’envisager les changements opérationnels qui pourraient être nécessaires afin de minimiser l’impact ou de développer de nouvelles stratégies de conformité.
Le jeu en vaut la chandelle étant donné que les amendes imposées par les tribunaux sont de plus en plus élevées chaque année.
Pourquoi choisir Interfacing?
Avec plus de deux décennies de logiciels d'IA, de qualité, de processus et de conformité, Interfacing continue d'être un leader dans l'industrie. À ce jour, nous avons servi plus de 500+ entreprises de classe mondiale et des sociétés de conseil en gestion de toutes les industries et de tous les secteurs. Nous continuons à fournir des solutions numériques, cloud et IA qui permettent aux organisations d'améliorer, de contrôler et de moderniser leurs processus tout en allégeant le fardeau de la conformité réglementaire et des programmes de gestion de la qualité.
Pour en savoir plus ou discuter de la manière dont Interfacing peut aider votre organisation, veuillez remplir le formulaire ci-dessous.
Documentation : Piloter la transformation, la gouvernance et le contrôle
• Obtenez des informations complètes et en temps réel sur vos opérations.
• Améliorez la gouvernance, l'efficacité et la conformité.
• Assurez une conformité fluide avec les normes réglementaires.
eQMS : Automatiser les workflows de qualité et de conformité & rapports
• Simplifiez la gestion de la qualité avec des workflows automatisés et une traçabilité continue.
• Standardisez la gestion des CAPA, des audits fournisseurs, de la formation et des workflows associés.
• Transformez la documentation en informations exploitables pour la Qualité 4.0.
Développement rapide d'applications low-code : Accélérer la transformation numérique
• Créez rapidement des applications personnalisées et évolutives.
• Réduisez le temps et les coûts de développement.
• Adaptez-vous rapidement pour répondre aux besoins évolutifs des clients et de votre entreprise.
L’IA pour transformer votre entreprise !
Conçus pour optimiser les opérations, l'efficacité et renforcer la conformité. Découvrez nos solutions alimentés par l’IA :
• Répondre aux questions des employés.
• Transformer des vidéos en processus.
• Recommander des améliorations de processus et des impacts réglementaires.
• Générer des formulaire, processus, risques, réglementations, KPIs, et bien plus.
• Fragmenter les normes réglementaires
Demandez une démo gratuite
Documentez, analysez, améliorez, numérisez et surveillez vos processus, vos risques, vos exigences réglementaires et vos indicateurs de performance au sein du système de gestion intégré Digital Twin d’Interfacing, l’Enterprise Process Center®!
Approuvé par nos clients à travers le monde !
Plus de 400 entreprises de classe mondiale et cabinets de conseil en gestion.
INTEGRATION
Approuvé par les nos clients dans le monde entier !
Plus de 400 entreprises de classe mondiale et cabinets de conseil en gestion.
