Si votre entreprise sert des clients au Canada et dans l’Union europeenne, vous etes probablement soumis a deux cadres reglementaires majeurs en matiere de protection des donnees : le Reglement general sur la protection des donnees (RGPD) europeen et la Loi sur la protection des renseignements personnels et les documents electroniques (PIPEDA) canadienne. Bien que ces deux lois partagent l’objectif commun de proteger les renseignements personnels, elles different significativement dans leur approche, leur portee et leurs mecanismes d’application. Ce guide compare les deux cadres pour vous aider a construire une strategie de conformite coherente.
Fondements philosophiques
Le RGPD est un reglement complet et prescriptif qui s’applique uniformement dans les 27 Etats membres de l’Union europeenne. Il repose sur le principe que la protection des donnees est un droit fondamental (Article 8 de la Charte des droits fondamentaux de l’UE). Chaque traitement de donnees doit reposer sur l’une des six bases juridiques enumerees a l’Article 6.
PIPEDA est une loi fondee sur des principes plutot que sur des regles prescriptives. Les dix principes de l’Annexe 1 fournissent un cadre flexible que le Commissariat a la protection de la vie privee du Canada (CPVP) interprete au cas par cas. Cette approche offre plus de souplesse mais aussi moins de certitude juridique.
La Loi 25 du Quebec, qui remplace PIPEDA pour les activites intra-provinciales, adopte une approche plus prescriptive qui la rapproche du RGPD. Pour les details, consultez notre guide sur la Loi 25 du Quebec.
Portee et applicabilite
Qui est protege
RGPD : Toute personne physique (personne concernee) qui se trouve dans l’Union europeenne, quelle que soit sa nationalite ou sa residence. Un touriste canadien naviguant sur un site web depuis Paris est protege par le RGPD pendant ce sejour.
PIPEDA : Tout individu dont les renseignements personnels sont recueillis, utilises ou communiques dans le cadre d’activites commerciales au Canada. La protection est liee a l’activite commerciale, pas a la localisation geographique de la personne.
Quelles entreprises doivent se conformer
RGPD : Toute organisation, partout dans le monde, qui traite des donnees personnelles de personnes dans l’UE, a condition d’offrir des biens ou services a des residents de l’UE ou de surveiller leur comportement (Article 3). Aucun seuil de revenus, aucun volume minimum de donnees. Pour un apercu complet, consultez notre article sur qui est reellement concerne par le RGPD.
PIPEDA : Les organisations du secteur prive qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’activites commerciales. Pas de seuil de revenus non plus, mais la loi ne s’applique qu’aux activites commerciales (excluant les activites personnelles, journalistiques, artistiques et gouvernementales).
Consentement
C’est ici que les deux cadres se distinguent le plus nettement.
RGPD : Le consentement est l’une des six bases juridiques possibles (Article 6). D’autres bases — execution d’un contrat, obligation legale, interets legitimes — permettent de traiter des donnees sans consentement. Quand le consentement est utilise, il doit etre libre, specifique, eclaire et univoque (Article 7). Le consentement par defaut (cases precochees) est invalide.
PIPEDA : Le consentement est le mecanisme principal de legitimation. PIPEDA reconnait le consentement explicite (opt-in) et le consentement implicite, selon la sensibilite des renseignements et les attentes raisonnables de la personne. Le consentement implicite est acceptable pour des usages non sensibles et raisonnablement previsibles, ce qui n’a pas d’equivalent direct dans le RGPD.
| Aspect | RGPD | PIPEDA |
|---|---|---|
| Consentement explicite | Requis pour donnees sensibles (Art. 9) et certaines situations | Requis pour donnees sensibles |
| Consentement implicite | Non reconnu | Acceptable pour usages non sensibles et previsibles |
| Cases precochees | Invalides (arret Planet49) | Generalement acceptables pour le consentement implicite |
| Bases alternatives | 5 autres bases juridiques | Exceptions limitees (enquetes, urgences) |
| Retrait | A tout moment, aussi facilement que l’octroi | A tout moment |
Droits des individus
Les deux lois conferent des droits aux individus, mais avec des differences significatives :
| Droit | RGPD | PIPEDA |
|---|---|---|
| Acces | Article 15 : copie de toutes les donnees | Annexe 1, principe 9 : acces et information sur l’usage |
| Rectification | Article 16 | Annexe 1, principe 9 |
| Effacement | Article 17 : droit a l’oubli avec exceptions | Pas de droit explicite d’effacement (mais conservation limitee) |
| Portabilite | Article 20 : format structure et lisible par machine | Pas d’equivalent (mais prevu dans le projet de loi C-27) |
| Opposition | Article 21 : droit d’opposition au traitement | Pas d’equivalent direct |
| Limitation du traitement | Article 18 | Pas d’equivalent |
| Delai de reponse | 1 mois (prolongeable a 3) | 30 jours (prolongeable dans certains cas) |
Le RGPD offre un eventail de droits plus large et plus detaille. PIPEDA se concentre sur l’acces, la correction et le consentement comme mecanismes principaux de controle.
Transferts internationaux de donnees
RGPD : Les transferts de donnees personnelles hors de l’EEE sont strictement encadres par le Chapitre V du RGPD. Ils necessitent une decision d’adequation de la Commission europeenne, des clauses contractuelles types (CCT), des regles d’entreprise contraignantes (BCR), ou un autre mecanisme approuve. Le Canada beneficie d’une decision d’adequation partielle pour les transferts couverts par PIPEDA (mais pas pour les transferts vers les provinces ayant des lois provinciales).
PIPEDA : Aucune restriction specifique sur les transferts internationaux. L’organisation qui transfere des donnees reste responsable de leur protection conformement aux dix principes, quel que soit le pays de destination. La Loi 25 du Quebec, en revanche, impose des exigences de transfert plus strictes, comparables a celles du RGPD.
Declaration des atteintes
RGPD : Notification a l’autorite de controle dans les 72 heures (Article 33). Notification aux personnes concernees sans delai injustifie si le risque est eleve (Article 34).
PIPEDA : Notification au CPVP et aux personnes concernees des que possible si l’atteinte presente un risque reel de prejudice grave (articles 10.1 a 10.3). Pas de delai strict de 72 heures, mais la notification doit etre rapide. Tenue obligatoire d’un registre de toutes les atteintes pendant 24 mois.
Sanctions et application
| Aspect | RGPD | PIPEDA |
|---|---|---|
| Amende maximale | 20 M EUR ou 4 % du CA mondial | 100 000 $ CA (atteintes seulement) |
| Autorite d’application | Autorites nationales (CNIL, etc.) | CPVP + Cour federale |
| Pouvoir de sanction directe | Oui | Non (sauf atteintes) — le CPVP recommande, la Cour decide |
| Droit d’action prive | Oui (Article 82) | Oui (via la Cour federale apres conclusion du CPVP) |
| Jurisprudence | Abondante depuis 2018 | Moins developpee |
Le RGPD dispose d’un arsenal de sanctions incomparablement plus puissant. Cependant, le projet de loi C-27 canadien prevoit d’introduire des sanctions administratives pecuniaires pouvant atteindre 10 millions de dollars ou 3 % du chiffre d’affaires mondial, ce qui rapprocherait significativement les deux cadres.
Pour une comparaison avec le cadre californien, consultez notre article CCPA vs GDPR.
DPO vs responsable de la vie privee
RGPD : La designation d’un delegue a la protection des donnees (DPO) est obligatoire pour les autorites publiques, les organisations dont l’activite principale implique un suivi regulier et systematique a grande echelle, ou le traitement a grande echelle de donnees sensibles (Article 37). Pour les autres, la designation est facultative mais recommandee.
PIPEDA : L’Annexe 1 exige la designation d’un individu responsable de la conformite (principe 1 — Responsabilite), mais sans les criteres detailles du RGPD. La personne ayant la plus haute autorite est responsable par defaut.
Evaluation d’impact
RGPD : Une analyse d’impact relative a la protection des donnees (AIPD) est obligatoire pour les traitements susceptibles d’engendrer un risque eleve pour les droits et libertes des personnes (Article 35). La liste des situations necessitant une AIPD est publiee par chaque autorite nationale.
PIPEDA : Aucune obligation formelle d’evaluation d’impact, bien que le CPVP la recommande fortement comme bonne pratique. En revanche, la Loi 25 du Quebec rend l’evaluation des facteurs relatifs a la vie privee (EFVP) obligatoire pour certains projets.
Strategie de conformite pour les entreprises bi-juridictionnelles
Si votre entreprise sert des clients au Canada et dans l’UE, voici une approche pratique :
1. Partez du RGPD. Les exigences du RGPD sont generalement plus strictes. Une conformite RGPD solide couvrira la majorite des obligations PIPEDA.
2. Ajoutez les elements specifiques PIPEDA. Documentez votre conformite aux dix principes, etablissez des procedures de traitement des demandes conformes aux delais PIPEDA, et assurez-vous que votre politique de confidentialite adresse les exigences specifiques canadiennes.
3. Gerez les differences de consentement. Appliquez le consentement opt-in (RGPD) pour les visiteurs europeens et gerez le consentement implicite selon les criteres du CPVP pour les visiteurs canadiens.
4. Preparez-vous pour la Loi 25. Si vous servez des clients quebecois, conformez-vous egalement a la Loi 25, qui est plus stricte que PIPEDA. Consultez notre guide complet PIPEDA pour le cadre federal.
5. Documentez tout. Maintenez des registres de traitement (RGPD Article 30), un registre des atteintes (PIPEDA et RGPD), et des traces de toutes les demandes et reponses.
Vérifiez votre conformité dans les deux juridictions grâce à notre scanner de conformité gratuit.
Conclusion
Le RGPD et PIPEDA partagent l’objectif de proteger les renseignements personnels, mais ils le font selon des philosophies et des mecanismes differents. Le RGPD est prescriptif, avec des droits etendus et des sanctions dissuasives. PIPEDA est fonde sur des principes, avec une approche plus flexible mais des sanctions actuellement limitees (bien que le projet de loi C-27 vise a changer cela). Pour les entreprises operant dans les deux juridictions, la strategie la plus efficace consiste a construire sur la base du RGPD et a completer avec les exigences specifiques de PIPEDA. Ne pas agir n’est pas une option : les risques reglementaires des deux cotes de l’Atlantique ne cessent de croitre.