Rapport définitif – Règlement général sur la protection des données

Introduction

Le présent rapport traite du Règlement général sur la protection des données récemment entré en vigueur en Europe. Il vise à déterminer si ce Règlement s'applique à Bibliothèque et Archives Canada (BAC) en tant qu'institution gouvernementale, ainsi qu'à son outil Co-Lab, et si oui, dans quelle mesure. À l'heure actuelle, le Règlement ne touche ni l'un ni l'autre, puisque BAC n'a aucun programme ou service ciblant les citoyens des États membres de l'Union européenne, pas plus qu'il n'utilise leurs données pour suivre leurs comportements.

  • Le Règlement général sur la protection des données est en vigueur depuis mai 2018 au sein de l'Union européenne. Il englobe un ensemble de règles destinées à resserrer le contrôle des citoyens européens sur leurs données personnelles. Il s'applique aux responsables du traitement des données et à leurs sous-traitants Note1.
  • Co-Lab est un outil de production participative grâce auquel BAC permet à ses utilisateurs de transcrire, d'étiqueter, de traduire et de décrire les documents numérisés de sa collection, permettant ainsi aux Canadiens de mieux connaître leur histoire.

Application

Dans deux cas précis, le Règlement général sur la protection des données s'applique aux sous-traitants situés hors de l'Union européenne :

  • lorsque leurs services ciblent directement des personnes de l'Union européenne identifiées ou identifiables dans les données (ce sont les « personnes concernées »);
  • lorsqu'ils font le suivi du comportement de ces personnes.

L'article 23 spécifie qu'un sous-traitant se trouvant dans un pays tiers (hors de l'Union européenne) est assujetti au Règlement s'il a l'intention d'offrir des biens ou des services à des personnes concernées de l'Union européenne Note2. L'article 24 ajoute qu'un sous-traitant se trouvant dans un pays tiers est également soumis au Règlement s'il fait le suivi du comportement Note3de ces personnes, et ce, que les données découlent ou non de services visant la population européenne.

Comme BAC recueille et conserve des données à caractère personnel concernant les utilisateurs de ses divers programmes, il se verrait soumis au Règlement s'il venait à offrir des services qui ciblent des personnes concernées de l'Union européenne, ou encore des services qui suivent leurs comportements au moyen des données recueillies. Cela dit, à l'heure actuelle, les services de BAC ne ciblent pas la population européenne. Le site Web de BAC, par exemple, indique clairement que les Canadiens constituent son principal groupe d'utilisateurs. De plus, selon l'examen préliminaire, il est peu probable que BAC fasse un suivi ou un profilage des utilisateurs qui corresponde à la définition que fait le Règlement du « suivi du comportement Note4 ».

Co-Lab est un exemple de programme qui, à première vue, pourrait assujettir BAC au Règlement, mais il ne répond finalement pas aux critères. En premier lieu, bien que rien n'empêche les Européens de l'utiliser, Co-Lab n'a aucune visée officielle à leur égard : le matériel promotionnel établit sans équivoque que les Canadiens en sont le public cible. C'est le cas, par exemple, du communiqué de presse annonçant le lancement de Co-Lab. On y explique que grâce à cet outil, « les Canadiens contribueront à dévoiler d'importants volets de notre histoire ». En second lieu, selon toute vraisemblance, aucun suivi du comportement des utilisateurs n'est effectué. Co-Lab emploie le système de comptes utilisateurs de BAC pour recueillir et stocker les données sur les utilisateurs lors de leur inscription; à notre connaissance dudit système, il est peu probable que cela puisse servir à mener le genre d'activités qui correspondent à la définition du « suivi du comportement » au sens du Règlement Note5.

Points à considérer

Le Règlement ne s'applique actuellement ni à BAC en général, ni à Co-Lab en particulier. Toutefois, s'il advient que BAC mette en place en programme qui vise les personnes concernées d'Europe ou qui fasse le suivi de leurs comportements, il faudra pousser l'analyse pour déterminer quelles sont nos responsabilités au titre de ce Règlement.

Date de modification :