Le 3 octobre dernier, la Haute Cour commerciale d’Irlande (« Irish Commercial High Court ») concluait que les clauses contractuelles types de la Commission européenne (« Standard Contractual clauses » ou « SCCs », et plus particulièrement celles provenant de la Décision 2010/87/EU) (http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm), utilisées par les compagnies, tel que Facebook, pour transférer les renseignements personnels des citoyens européens vers les États-Unis, étaient susceptibles de ne pas assurer une protection adéquate des renseignements personnels et renvoyait la cause devant la Cour de justice de l’Union européenne (CJUE) pour qu’elle puisse statuer sur la question de façon définitive.
Cette décision a été rendue, suite à une plainte de l’activiste autrichien Maximillian Schrems à la Commissaire à la protection des données d’Irlande (« The Data Protection Commissionner » ou « DPC ») qui demanda l’avis de la Cour par la suite. M. Schrems dénonçait le fait que la compagnie Facebook pouvait potentiellement exposer ses données personnelles aux services de renseignements des États-Unis puisque, selon lui, « […] U.S. law requires Facebook to help […] with mass surveillance and EU law prohibits just that.”
La cour donna raison à la Commissaire et remis en question la sécurité des clauses en statuant que :
« If there are inadequacies in the laws of the United States within the meaning of Union law, the SCCs cannot and do not remedy or compensate for these inadequacies. The private contractual clauses cannot bind the sovereign authority of the United States and its agencies. This was not contended. This conclusion means that the terms of the SCCs themselves does not provide an answer to the concerns raised by the DPC in relation to the existence of effective remedies for individual EU citizens in respect of possible infringement of their data privacy protection rights if their data are subject to unlawful interference.” (http://www.europe-v-facebook.org/sh2/HCJ.pdf)
Étonnamment, ce n’est pas la première fois que la CJUE aura à statuer sur une telle question. En effet, le 6 octobre 2015, la CJUE invalida l’ancien accord de protection des données personnelles entre l’UE et les États-Unis, Safety Harbour, décrétant qu’il n’y avait « aucune constatation quant à l’existence, aux États‑Unis, de règles à caractère étatique destinées à limiter les éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l’Union vers les États‑Unis ».
(http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d6cb951ba1770447859a0cc303d0cf4d38.e34KaxiLc3qMb40Rch0SaxyMbxv0?text=&docid=169195&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=822354). Un nouvel accord a été mis en place par la suite, soit le EU-US Privacy Shield, afin de renforcer les protections et limiter les accès aux données par les autorités américaines.
(http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_eu-us_privacy_shield_en.pdf).
Mais bon… Ramenons un peu les choses au domaine du connu.
Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (http://laws-lois.justice.gc.ca/fra/lois/P-8.6/page-1.html) traite des transferts internationaux des données personnelles (https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/02_05_d_15/), et ce, même si le Québec a adopté une loi spécifique provinciale reconnue comme étant similaire à la loi fédérale (http://laws-lois.justice.gc.ca/fra/reglements/DORS-2003-374/page-1.html), soit la Loi sur la protection des renseignements personnels dans le secteur privé
(http://www.legisquebec.gouv.qc.ca/fr/showdoc/cs/P-39.1).
De plus, la LPRPDE (pour les intimes) est considérée, au niveau européen, comme une loi offrant des protections adéquates par la Commission européenne, (http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32002D0002) permettant ainsi aux données européennes d’être transférées entre les deux pays et permettant aussi l’utilisation des clauses contractuelles types par les entreprises canadiennes
Aussi, le 4 février 2016, Le Canada signa un nouvel accord de libre-échange, l’Accord de partenariat transpacifique ou PTP, avec quelques douze autres pays, dont les États-Unis. (http://ici.radio-canada.ca/nouvelles/politique/2016/02/03/006-partenariat-transpacifique-impacts-etude-ottawa-signature-accord-chrystia-freeland.shtml) Fait intéressant, cet accord viendrait interdire les restrictions de transferts transfrontaliers des données personnelles entre les pays signataires. En effet, « [e]n l’absence d’un ‘objectif légitime de politique publique’, les pays doivent obligatoirement autoriser ce transfert transfrontière de données effectué dans le cours des affaires. »
(http://www.mcmillan.ca/Files/192971_International_Data_Transfers_to_and_from_Canada_FR.pdf) Obligation quelque peu problématique pour le Canada, car elle pourrait forcer la Commission européenne à remettre en question le caractère « adéquat » des protections législatives des lois canadiennes.
(http://www.mcmillan.ca/Files/192971_International_Data_Transfers_to_and_from_Canada_FR.pdf )
Or, en janvier dernier, les États-Unis ont décidé de se retirer du PTP venant ainsi mettre un frein à la mise en place de l’accord et forçant aussi de nouvelles renégociations entre les parties signataires restantes, dont le Canada. (http://beta.radio-canada.ca/nouvelle/1035119/partenariat-transpacifique-adopter-sans-etats-unis) Ce faisant, le statut de la législation canadienne face à l’Union européenne reste sain et sauf pour, du moins, encore quelques temps.
Bref, si le Canada peut encore conserver son statut, il sera fort intéressant de lire ce que la plus haute cour de justice européenne aura à dire sur l’utilisation de ses clauses contractuelles types. Après tout, la protection de la vie privée est un droit fondamental, et ce, tant au Canada qu’en Europe.
Commentaires