PROTECTION DES DONNÉES: CANADA ET EUROPE PARTAGENT LES MÊMES VALEURS

 

Dans un contexte sensiblement différent

#Canada #UE #PIPEDA #LPRPDE #RGPD #GDPR #Partenariat trans-pacifique #AECG #CETA #ALÉNA #TAFTA #Niveau de protection adéquat #Clauses contractuelles types #Règles d’entreprise contraignantes

Vincent Bureau Juillet 2018

Alors que le Commissaire fédéral à la protection de la vie privée souligne devant la Chambre des communes et dans les communications du Commissariat (https://www.priv.gc.ca/fr) l’urgence de la situation face à des risques à l’égard de la confiance dans l’économie numérique, quel est le contexte canadien pour le transfert des données personnelles du secteur privé?

CANADA

Le régime canadien de protection des données personnelles repose sur la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques LPRPDE adoptée en réponse à la Directive U.E 95/46/CE.

Les provinces de Québec, d’Alberta et de Colombie‑Britannique, ont adopté des lois « essentiellement similaires » à la LPRPDE, qui régissent la collecte, l’utilisation et la communication des données personnelles sur leur territoire.

Les organisations canadiennes qui font affaire à l’international doivent prendre en compte les lois nationales sur la protection des données et les lois étrangères qui sont susceptibles de s’appliquer à leurs employés, clients et fournisseurs. Toutes les entreprises qui mènent des activités au Canada et qui traitent des renseignements personnels qui vont au-delà des frontières provinciales ou nationales sont assujetties à la LPRPDE, quel que soit le territoire ou la province où elles se situent.

La LPRPDE et sa disposition prévoyant la reconnaissance d’une loi provinciale essentiellement similaire satisfait au critère d’adéquation de l’Union Européenne. Depuis 2001 et à condition de conformité avec la Directive sur leur protection, les transferts de données personnelles de l’U.E vers le Canada sont donc jugés acceptables sans autre approbation des autorités européennes.

Le rapport de la Chambre des communes. Vers la protection de la vie privée dès la conception’’ (2018/02) décrit le contexte et des conditions de la modernisation de la LRPDE en reprenant le concept développé par la Pr Ann Cavoukian avec le RGPD en ligne de mire. Une première modification dans ce sens rentre en vigueur le 1er novmbre 2018 avec l’obligation de tenir un registre de toute «atteinte aux mesures de sécurité» (i.e atteinte à la protection des données) pendant vingt-quatre mois et de communiquer «en cas de risque réel de préjudice grave».

UNION EUROPÉENNE

Dans le cadre de la Directive les États membres de l’U.E limitent le transfert des données personnelles aux pays non-membres sauf si ces pays fournissent un « niveau de protection adéquat » (pays dont le régime juridique selon la Commission européenne offre un niveau de protection adapté quant aux données personnelles) ou si les organisations concernées mettent en œuvre des mesures offrant le même niveau de protection avec des clauses contractuelles. Seules des personnes situées dans des pays tiers adéquat ou des organisations autorisées et intégrées dans un système juridique compatible peuvent recevoir des données à caractère personnel de personnes concernées de l’U.E.

Lorsque la Commission européenne confère ou retire cette décision d’adéquation, sa décision lie tous les États membres de l’UE. Ce qui pourrait concerner le Canada comme nous le verrons ultérieurement.

Le règlement 2016/679 dit Règlement Général sur la Protection des Données étend la portée des décisions d’adéquation en permettant les transferts à des pays tiers approuvés, à des territoires approuvés, à des secteurs déterminés et à une organisation internationale. Les mesures légitimant le transfert en dehors de l’UE et hors niveau de protection adéquat sont également largement étendues avec par exemple les règles d’entreprise contraignantes ou les mécanismes de certification.

Depuis le 25 mai 2018 les entreprises canadiennes impliquées dans la collecte et le traitement de données personnelles de résidants de l’Union doivent donc ajuster leurs processus et procédures aux nouvelles protections du RGPD qui vont au-delà de la Directive de 1995 et s’accompagnent de lourdes amendes.

U.S.A, U.E & CANADA

Les États-Unis n’ont pas de loi transverse de protection des données personnelles. Le FTC (Federal Trade Commission) joue le rôle d’autorité de contrôle sauf si une loi sectorielle (télécom., banque, santé) couvre le domaine.

Les informations sur les violations de données personnelles et l’ampleur des pratiques de surveillance états-uniennes sur les données canadiennes remettent en question le statut des États-Unis en matière de protection de la vie privée.

Les transferts de données personnelles de l’U.E vers les États‑Unis étaient adéquat lorsque l’organisation destinataire se conformait aux principes de la « sphère de sécurité » de la Communauté européenne et des États‑Unis publiés par le Ministère du commerce américain le 21 juillet 2000. La décision que la Cour de justice de l’Union européenne rendue le 6 octobre 2015 dans l’affaire Schrems a invalidé ces principes et la décision d’adéquation de la Commission. La sphère ne constituait plus un fondement aux transferts.

En août 2016 le programme « Bouclier de protection des données UE-États‑Unis » est adopté et rapidement critiqué par le groupe de travail de l’Article 29 regroupant les organismes européens de réglementation des données. Sans évolution eds États‑Unis d’ici le 1er septembre 2018 le Parlement européen demande à la Commission l’application de l’article 45.5 du RGPD, l’abrogation du statut adéquat du « Bouclier ».

Les lois fédérales des États-Unis Foreign Intelligence Surveillance Act et CLOUD Act renforcent les craintes pour les droits des personnes. Le Clarifying Lawful Overseas Use of Data Act, modifiant le Stored Communications Act de 1986, sur la surveillance des données personnelles permet aux forces de l’ordre fédérales et locales de contraindre les fournisseurs de services états-uniens à fournir les données personnelles stockées sur serveurs y compris à l’étranger.

Le vote dans la précipitation le 28 juin d’une loi californienne applicable le 1er janvier 2020 pour la protection des données personnelles des consommateurs illustre les forces contradictoires en mouvement. Les parlementaires californiens répondent ainsi au risque d’un vote irrévocable basé sur une initiative populaire menée par Alastair Mactaggart. Le mouvement animé par Mr Mactaggart est parti d’une simple réflexion : « Si les gens comprenaient tout ce qu’on sait d’eux, ils seraient vraiment inquiets. » Avec ce vote et dans les 18 mois à venir les représentant de l’industrie internet officiellement attendent des corrections.

Malgrè ses limitations et les menaces sur son évolution la loi californienne est la plus contraignante aux USA pour la protection des données. C’est aussi un modèle de fait pour les autres états américains et l’état fédéral. Peut-être également une incitation au leadership pour le Québec qui a déjà démontré ses capacités avec la Californie dans un autre domaine (marché du carbone).

Dans un contexte de menaces sur la sécurité des données, le RGPD et la localisation des données sont des choix pertinents pour des pays comme le Canada. Cependant des contradictions apparaissent, en particulier avec le partenariat transpacifique.

LE DÉFI DES ACCORDS INTERNATIONAUX

L’intérêt récemment renouvelé du gouvernement américain pour l’Accord de partenariat transpacifique, impliquant le Canada, pose la question de l’interdiction de restreindre le transfert des données personnelles lié aux échanges commerciaux dans le cadre de cet accord.

L’accord de partenariat transpacifique est un traité multilatéral de libre-échange signé le 4 février 2016 dont l’objectif est d’intégrer les marchés d’Asie-Pacifique et d’Amériques. Le 23 janvier 2017 les États-Unis se désengageant du traité.

Au-delà de l’autorisation des flux de données transfrontaliers le TPP interdit les exigences en matière de localisation de données. Les pays membre du TPP ont obligation d’autoriser « le transfert transfrontière de renseignements par voie électronique, y compris les renseignements personnels, lorsque cette activité s’inscrit dans le cadre d’activités commerciales exercées par une personne visée ».

Le nouvel Accord Partenariat transpacifique global et progressiste (CPTPP) sans les États-Unis est officialisée en mars 2018. Les onze parties « reconnaissent les avantages économiques et sociaux de la protection des renseignements personnels des utilisateurs du commerce électronique et la contribution que cela représente pour renforcer la confiance des consommateurs dans le commerce électronique ». Sur le plan du respect de la vie privée, le CPTPP implique que les parties adoptent ou maintiennent un cadre juridique prévoyant la protection des renseignements personnels au moins dans le contexte des utilisateurs du commerce électronique ce qui est une nouvelle obligation pour la région. Le Système de règles de confidentialité transfrontalières (CBPR) du forum Coopération économique pour l’Asie-Pacifique (APEC) est une piste pour l’avenir.

Cependant le CPTPP reste problématique sur la question de la protection de données privée sur deux points majeurs. D’une part le chapitre sur le commerce électronique préserve les dispositions conçues pour répondre aux normes américaines sur les données personnelles impactant ainsi le cadre canadien sur le transfert de données et la localisation des données. D’autre part, les règles d’implantation des mesures commune de protection aux différents systèmes légaux sont à ce point flexible qu’elles se limitent à ce que « chaque partie devrait encourager le développement de mécanismes visant à promouvoir la compatibilité entre ces différents régimes. »

La renégociation en cours de l’Accord de libre-échange nord-américain (NAFTA) à l’origine de la considérable zone de libre-échange entre les États-Unis, le Canada et le Mexique, est une autre zone d’attention et de risques potentiels pour la perspective d’une adéquation du Canada dans le cadre du RGPD.

L’accord économique et commercial global (AECG) ou Comprehensive Economic and Trade Agreement (CETA) entre le Canada et l’U.E est dans une phase d’application provisoire depuis le 21 septembre 2017 avant ratification complète par les États membres. L’accord ne concerne pas directement les données personnelles. Cependant les mécanismes d’harmonisation règlementaire prévus par l’accord sont des outils qui pourraient être utilisés pour une mise à niveau équivalente des droits à la protection de la vie privée.

Entre une approche états-unienne de laisser-faire et la volonté de protection des données personnelles de l’U.E, le Canada est dans une position qui mérite une considération particulière dans la perspective du renouvellement d’ici le 25 mai 2020 de son statut adéquat avec l’U.E.

CONCLUSIONS

Les organisations canadiennes ont tout intérêt à développer un programme global et consistant de conformité à la protection des données personnelles conçu comme un facteur de réduction des risques et d’avantage compétitif.

Pour les données européennes elles devront se conformer à la nouvelle approche et aux obligations du RGPD, par exemple avec la nomination d’un Délégué à la protection des données (DPO). Ce niveau d’exigence représente un nouveau standard international de référence pour la protection des données personnelles. Selon l’avis de Daniel Therrien, Commissaire fédéral à la protection de la vie privée, il réduit le risque des activités économiques canadiennes (1) avant l’adoption de mesures équivalentes. Il couvre également l’essentiel des obligations canadiennes et provinciales actuelles et prévisibles en apportant un avantage compétitif comme le souligne The Office of the Information and Privacy Commissioner (OIPC) de British Columbia (2).

La convergence constatée autour de la Directive 95/46/EC (3) est en mouvement pour le Règlement 2016/679. 127 états ont maintenant adoptés leur(s) loi(s) de protection des données personnelles. Par exemple en République de Maurice où The Mauritius Data Protection Act de 2017 s’aligne sur le RGPD dans l’objectif d’obtenir une décision d’adéquation. Pour les autres pays la Convention 108 de 1981, en cours de modernisation et d’harmonisation avec le RGPD, reste le cadre des échanges de données des secteurs public et privé. Il semble essentiel que le Canada préserve cette adéquation différenciatrice seulement partagée par quatre pays non européens. Comme le montre les travaux puis la validation de l’adéquation Japon-Europe, le programme de réforme à venir est de grande ampleur.

Les entreprises pourront mitiger ces risques selon leur situation propre par la mise en place d’un panel de mesures élargies par le RGPD : clauses contractuelles types de protection des données adoptée par la Commission, clauses contractuelles types adoptées par une autorité de protection et approuvées par la Commission, règles d’entreprise contraignantes approuvées, clauses contractuelles autorisées par une autorité de protection compétente suivant le mécanisme de contrôle de la cohérence, code de conduite approuvé, mécanisme de certification approuvé, dérogations comme le consentement ou l’exécution d’un contrat.

Enfin, le choix du partenaire dans l’accompagnement à la conformité organisationnelle et opérationnelle est dans ce cadre évolutif une décision d’importance revenant au plus haut niveau de l’organisation concernée.

Une approche holistique permettra aux entreprises canadiennes de maintenir des flux d’échange de données indispensables à leur processus d’affaire.

(1)   Daniel Therrien, Avis du Commissaire à la protection de la vie privée, 2018/04.

(2)   The Office of the Information and Privacy Commissioner (OIPC) from British Columbia, Competitive advantage: compliance with PIPA and the GDPR, 2018/03.

(3)     Graham Greenleaf, Global Data Privacy Laws, 2017/01.