April 27, 2018

Canada-Europe Cybersecurity GDPR – New Regulations for Canadian Exporters (Legislative Alert)

Legislative Alert: Canada-Europe Cybersecurity

Contact: Huguette Guilhaumon, CATA Media Relations
tel: +1 (514) 656-3254

Montreal, April 30, 2018 – In Canada, about 9,000 companies export to the European Union (EU). This represents $ 60 billion annually in revenues for goods and services. These numbers will increase as soon as the Canada-European Union Comprehensive Economic and Trade Agreement (CETA) is enforceable. To successfully integrate in Europe, these companies have adapted to EU regulations and standards in several areas, such as health, accountability, competitive transparency and the environment.

Today, Canadian exporters face a new challenge: to comply with the EU law on data protection and privacy for all individuals, a new piece of legislation that will soon transform the whole relationship between businesses and their customers. The General Data Protection Regulation (GDPR) just adopted by the 28-member countries of the European Union will enter into force on 25 May. This is a demanding, binding and compulsory regulation that applies to member countries, but also to all third countries that provide goods and services in the European territory

This regulation aims to give its citizens full control over how their personal data is used in the cyber space, and in the traditional paper format. From now on, users will have a right of access to their data, a right to be forgotten, a right to portability, a right of refusal, a right to be informed in case of leakage or transfer of data to a third party. In short, individuals will reclaim their identities.

New responsibilities

Companies operating within the European Union or dealing with European clients – regardless of their country of origin – will have to prove that they take full responsibility for the management of personal data according to the guidelines of the GDPR.

Financial penalties for non-compliance with the GDPR are severe. Non-compliance results in penalties of around 4% of annual global turnover for breaching GDPR or €20 million (whichever is higher). In addition, according to the regulations, criminal proceedings could be instituted against executives who refuse to comply.

Companies where the core activities involve regular and systematic monitoring (or processing sensitive data such as health) on a large scale will be required to designate a Data Protection Officer (DPO) who will be responsible for establishing a record of data processing activities, notifying users in the event of security breaches, mapping usage, and analyzing and integrate impacts on personal data from the design of a new product or service.

During the first year of implementation of the GDPR, it is expected that the EU will exert particular vigilance to the abuses of large companies. This will provide a temporary respite to micro-businesses that collect, store and use personal data to set up mandatory mechanisms such as consent and keeping a journal on the use of private data.

The GDPR does not involve the purchase of expensive technologies. “The mandatory elements of the GDPR are more governance than IT,” says John Reid, President and CEO of the Canadian Advanced Technology Alliance (CATAAlliance). “SMEs can very well comply by relying on their own human resources and without the assistance of law firms or IT or cybersecurity consulting firms. The European Union has developed support tools. “

The GDPR is not another obstacle for companies. On the contrary, the new regulation represents a competitive advantage. “For all intents and purposes, by complying with the GDPR, companies adopt the best practices in terms of security and privacy,” says Jean-Guy Rens, partner of Sciencetech and vice-president of CATA Alliance. “It is an option taken on the future development of companies. Indeed, the GDPR is an essential prerequisite for the deployment of the Internet of Things and the use of Big Data.”

Online documentation

  • The official text of the GDPR (256 pages) proposes a new legal framework for the protection of personal data, strengthening the rights of individuals and introducing new obligations for bodies (public administrations and private companies) that collect and store information nominative.
  • The European Union offers support tools for companies. Thus, in France, the National Commission for Informatics and Liberties (CNIL) proposes a modus operandi in six stages and a free open source software for assessing impacts on the management of personal data (https://www.cnil.fr/en/home). The CNIL also offers a toolkit for TPE-PME.
  • Canadian companies can consult the document “GDPR and Canadian organizations: Addressing key challenges“, Published by Deloitte.
  • The CATAAlliance offers support to companies in their compliance process by facilitating companies’ access to the development of new processes in data management.

 About CATAAlliance
Interact with your Innovation Peer Group Now
https://www.linkedin.com/groups/37239/

The Canadian Advanced Technology Alliance (CATAAlliance) is Canada’s One Voice for Innovation Lobby Group, and is crowdsourcing ideas and guidance from thousands of opt in members in moderated social networks in Canada and key global markets. (No Tech Firm Left Behind)

Support CATA Advocacy Today through Crowdfunding

Contact: CATAAlliance CEO, John Reid at email jreid@cata.ca, tel: 613-699-8209, website: www.cata.ca, tags: Innovation. Leadership, Entrepreneurship, Advocacy

Cybersécurité Canada-Europe: RGPD – Nouvelle réglementation pour les entreprises canadiennes exportatrices

Montréal, le 30 avril 2018 — Au Canada, environ 9 000 entreprises exportent vers l’Union européenne (UE). Cela représente annuellement 60 milliards de dollars de revenus en biens et services.  Ces chiffres sont appelés à augmenter dès que le traité de libre-échange Canada-Europe sera exécutoire. Pour réussir à s’intégrer en Europe, ces compagnies se sont adaptées aux réglementations et aux normes de l’UE dans plusieurs domaines, tels que la santé, la reddition de comptes, la transparence concurrentielle et l’environnement. Aujourd’hui, le groupe exportateur canadien devra relever un nouveau défi : se conformer au RGPD, une législation nouvelle qui transforme les relations entre les entreprises et leurs clients.

Le Règlement général sur la protection des données (RGPD) adopté par les 28 pays membres de l’Union européenne sera en vigueur le 25 mai prochain. Il s’agit d’un règlement exigeant, contraignant et obligatoire qui s’applique aux pays membres, mais aussi à tous les pays tiers, qui fournissent des biens et services dans l’hémisphère de l’UE. 

Ce règlement vise à redonner aux individus le contrôle de leurs données dans le cyber espace, mais aussi sur support papier traditionnel. Dorénavant, les utilisateurs auront un  droit d’accès à leurs données, un droit à l’oubli, un droit à la portabilité, un droit de refus, un droit d’être informés en cas de fuite ou transfert des données à un tiers. En bref, les individus se réapproprient leurs identités.

Responsabilités nouvelles

En tout temps, les entreprises opérant au sein de l’Union européenne – quel que soit leur taille ou leur pays d’origine –  devront faire la preuve qu’elles assument la pleine responsabilité de la gestion des données personnelles selon les directives du RGPD.

Les pénalités financières liées au non-respect du RGPD sont sévères. La non-conformité entraîne des pénalités de l’ordre de 4% du revenu annuel de l’entreprise ou 20 millions € (le montant le plus important étant retenu). De plus, selon le règlement, des poursuites au criminel pourraient être engagées contre des dirigeants qui refusent de se conformer.

Les entreprises qui traitent des données à grande échelle et en font un suivi régulier et systématique dans le cadre de leur activité principale, devront nommer un DPO (Data Protection Officer) qui veillera à établir un registre d’activités des traitements des données, à notifier les utilisateurs en cas de failles de sécurité, à cartographier les usages, et à analyser et intégrer les impacts sur les données personnelles dès la conception d’un produit ou service nouveau.

Pendant la 1re année de mise en œuvre du RGPD, l’UE apportera une vigilance particulière aux dérives des grandes entreprises, ce qui permettra aux TPE-PME qui collectent, stockent et utilisent des données à caractère personnel de mettre en place les mécanismes obligatoires comme le consentement et la tenue d’un journal sur l’utilisation des données à caractère privé.

Le RGPD n’entraine pas l’achat de technologies coûteuses. « Les éléments obligatoires du RGPD relèvent davantage de la gouvernance que des TI, affirme John Reid, président directeur général de l’Alliance canadienne pour les technologies avancées (CATA). Les PME peuvent très bien se conformer en comptant sur leurs propres ressources et sans l’assistance de cabinets d’avocat ou de firmes-conseils en informatique ou en cybersécurité. L’Union européenne a mis au point des outils d’accompagnement. »

Le RGPD n’est pas un obstacle de plus pour les entreprises. Au contraire, le nouveau règlement représente un atout concurrentiel. « À toutes fin pratiques, en se conformant au RGPD, les entreprises adoptent les meilleurs pratiques en matière de sécurité et de respect de la vie privée, explique Jean-Guy Rens, associé de Sciencetech et vice-président de l’Alliance CATA. C’est une option prise sur le développement futur des entreprises. En effet, le RGPD est une condition incontournable pour le déploiement  de l’Internet des objets et le recours au Big Data. »

 Documentation en ligne

  • Le texte officiel du RGPD (88 pages) propose un nouveau cadre juridique à la protection des données personnelles, en renforçant le droit des personnes et en instaurant de nouvelles obligations pour les organismes (administrations publiques et entreprises privées) qui recueillent et stockent des informations nominatives.
  • L’Union européenne propose des outils d’accompagnement pour les entreprises. Ainsi, en France, la Commission nationale de l’informatique et des libertés (CNIL) propose un modus operandi en six étapes ainsi qu’un logiciel Open Source gratuit d’évaluation des impacts sur la gestion des données personnelles (https://bit.ly/2zD7W0O). La CNIL propose également une trousse d’outils pour TPE-PME.
  • L’Alliance CATA offre d’accompagner les compagnies dans leur démarche de conformité en facilitant l’accès des entreprises dans le développement de nouveaux processus en gestion des données.

À propos de CATA

L’Alliance canadienne pour les technologies avancées (CATAAlliance) est la plus grande association de haute technologie au Canada. Sa mission est d’accompagner les entreprises dans les domaines de l’innovation, des crédits d’impôt à la recherche et du financement. CATA est également un groupe de lobby en innovation qui utilise les moyens numériques pour sensibiliser les gouvernements et le secteur privé. CATA compte un bureau permanent à Shanghai, au Maghreb, et des antennes aux États-Unis.

Contact: Huguette Guilhaumon
+1 (514) 656-3254