RGPD pour organisations canadiennes Mis à jour : Juin 2026

Trois régimes peuvent s'appliquer simultanément. LPRPDE : loi fédérale canadienne, s'applique aux entreprises privées commerciales inter-provinciales. Loi 25 : loi québécoise, s'applique à toute organisation ayant des activités au Québec. RGPD : loi européenne, s'applique si vous traitez des données de résidents UE.

Le RGPD s'applique (principe d'extra-territorialité) si : (1) vous avez un établissement dans l'UE, (2) vous offrez des biens/services à des personnes dans l'UE (même gratuitement), (3) vous surveillez le comportement de personnes dans l'UE. Un site e-commerce canadien vendant à des clients français est soumis au RGPD.

Le RGPD exige une base légale pour tout traitement : Consentement (librement donné, spécifique, éclairé, univoque), Contrat (nécessaire à l'exécution), Obligation légale, Intérêts vitaux, Mission d'intérêt public, Intérêts légitimes. Choisir la bonne base légale est fondamental — on ne peut pas changer après coup.

8 droits fondamentaux : Accès (savoir quelles données), Rectification (corriger), Effacement (oublier), Limitation (restreindre le traitement), Portabilité (recevoir ses données), Opposition (s'opposer au traitement), Décision automatisée (ne pas être sujet uniquement à une IA), Retrait du consentement. Délai de réponse : 1 mois (extensible à 3 mois).

En cas de violation de données : évaluer si elle présente un risque pour les droits des personnes. Si oui : notifier l'autorité de contrôle compétente (CNIL pour la France) dans les 72h. Si risque élevé : notifier aussi les personnes concernées sans délai. Documenter toutes les violations, même celles non notifiées.

Tout sous-traitant traitant des données RGPD doit signer un DPA (Data Processing Agreement). Ce contrat précise : nature, durée, objet du traitement, obligations du sous-traitant (sécurité, confidentialité, sous-sous-traitance), droits du responsable de traitement. Sans DPA, vous êtes responsable des manquements de vos prestataires.