Onde de choc

Une récente décision de la Cour européenne de justice invalidant l’accord sur l’accord Privacy Shield entre l'Union européenne et les États-Unis suscite de nouveaux appels pour que le Canada fasse lui aussi le ménage dans son régime de protection des données.

Dans sa décision du 16 juillet, la Cour européenne de justice a déclaré l’invalidité immédiate de l’accord qui a sous-tendu le transfert des données entre l’Union européenne et les États-Unis. Tout à coup, jusqu’à 5 000 sociétés aux activités extrêmement variées, dont des banques, des sociétés de traitement de la paie et des géants des médias sociaux tels que Facebook et Google, se voient forcées de trouver d’autres avenues légales pour transférer leurs données outre Atlantique.

L’arrêt de la cour a également soulevé des interrogations quant aux « clauses contractuelles types » qui sont devenues parties intégrantes d’accords entre des exportateurs et des importateurs de données. La cour a affirmé que ces clauses demeurent légales, mais elle a imposé la responsabilité aux sociétés qui importent les données de veiller à ce que les droits européens à la confidentialité des données demeurent protégés.

C’est beaucoup plus facile à dire qu’à faire, car les sociétés ne peuvent pas garantir que les services de police et de renseignement tels que la National Security Agency (NSA) ne vont pas surveiller les données. Selon Colin Bennett, expert en matière de protection des données et professeur de sciences politiques à l’Université de Victoria, les sociétés ont donc le choix entre le traitement des données en Europe ou le recours à un cryptage tellement poussé que même les experts américains du renseignement ne peuvent le déchiffrer.

« L’arrêt a des répercussions à l’échelle mondiale », a dit M. Bennett au magazine ABC National. « Les Européens ont adopté la position de politique fondamentale selon laquelle ils possèdent de solides règles de protection des données et ne souhaitent pas que le transfert des données hors du territoire de l’Union européenne affaiblisse ces règles. Par conséquent, ils estiment que les règles devraient accompagner les données qui voyagent. »

Le Canada n’a pas participé à ce litige et conserve son statut auprès de l’UE de partenaire « adéquat » pour les transferts de données. Cependant, l’arrêt souligne la nécessité pour le Canada de se tenir à jour en actualisant la législation fédérale qui fixe les normes nationales pour les pratiques de protection des renseignements dans le secteur privé, à savoir la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) promulguée en 2000.

« Il est essentiel que les normes d’adéquation du Canada soient élargies et, étant donné les nouvelles règles en usage en Europe, nous devons modifier nos lois pour les faire correspondre à la nouvelle norme mondiale », dit M. Bennett.

Les États-Unis n’ont jamais possédé de loi d’ensemble sur la protection des renseignements personnels. C’est la raison pour laquelle les Européens n’ont jamais reconnu le régime américain de protection des renseignements comme un régime « adéquat », d’où l’importance d’accords tels que le bouclier de protection des données.

Elisa Henry, associée dans le cabinet BLG à Montréal, dit que la déclaration d’invalidité immédiate du bouclier de protection des données « a causé des problèmes pour maintes sociétés et soulève des questions au sujet de l’avenir ». Elle ajoute : « L’absence d’orientation claire nous oblige à nous en remettre à des suppositions ».

« Nous avons tous des clients qui dépendent de sociétés de traitement des données implantées aux États-Unis », dit Me Henry. Un grand nombre de sociétés se sont fiées au bouclier de protection des données et aux « clauses contractuelles types » pour satisfaire aux réglementations européennes. Alors qu’en principe ces clauses demeurent valides, selon elle il s’agit d’instruments manquant de souplesse qui ne peuvent être modifiés. En outre, les clauses n’offrent aucune protection si le gouvernement américain décide de « fouiner » dans les données, dit-elle.

Et pourtant, malgré l’arrêt, les données continuent de circuler entre l’Union européenne et les États-Unis comme avant. « À ma connaissance, rien n’a changé », dit Me Henry. « La décision est venue soudainement, alors la communauté pense que les responsables des données à la Commission européenne ne prendront pas de mesures d’application » pendant la durée des discussions avec les Américains concernant les prochaines étapes. « Tout le monde retient son souffle. »

Karen Eltis, professeure de droit à l’Université d’Ottawa et experte dans le domaine de la protection de la vie privée en ligne, a dit que l’arrêt de la Cour européenne démontre à quel point les acteurs étatiques traditionnels sont incapables de réglementer ce qui est destiné à l’espace cybernétique. « Cela fait partie d’un plus vaste problème de légitimité et de responsabilisation démocratiques », a dit Me Eltis lors d’une interview. « Je ne vote pas pour le gouvernement américain. Je ne peux pas demander à mon représentant au Congrès "dites-moi donc, pourquoi n’y a-t-il pas de loi ? " Je ne peux pas aller devant un tribunal américain, car les étrangers n’ont pas les mêmes droits que les Américains. »

La question excède le domaine de la protection des données et inclut des enjeux tels que l’imposition du revenu mondial des sociétés. « Il ne s’agit pas de gouverner le monde », dit Me Eltis. « Il s’agit pour des gouvernements démocratiques qui pensent de manière similaire de s’entendre sur un modèle de collaboration adapté à la gouvernance » dans l’ère moderne.

Ann Cavoukian, ancienne commissaire ontarienne à l'information et à la protection de la vie privée et directrice du centre appelé Privacy by Design Centre for Excellence, affirme que l’arrêt de la Cour européenne n’est pas surprenant et ne fait que souligner la nécessité pour le gouvernement fédéral de moderniser la LPRPDE et la Loi sur la protection des renseignements personnels pour permettre une application plus rigoureuse.

Et pourtant malgré les promesses fédérales d’aller de l’avant, y compris la publication, en 2018, d’une proposition de Charte numérique, Mme Cavoukian reste déçue par le manque de mesures législatives. « Ils n’ont absolument rien fait. M. Trudeau n’a pas bougé d’un pouce. C’est aberrant. »

Cependant, les pressions exercées sur le gouvernement fédéral pour que soit actualisée sa législation en matière de protection de la vie privée s’accroissent. Le gouvernement du Québec a introduit des modifications pour actualiser sa législation en matière de protection des renseignements personnels (le Québec, la Colombie-Britannique et l’Alberta ont leurs propres lois portant sur la protection des renseignements personnels dans le secteur privé alors que la LPRPDE régit les autres provinces). La nouvelle législation proposée au Québec s’inspire du règlement général sur la protection des données (RGPD) européen. Le parlement de la Colombie-Britannique a récemment nommé un comité spécial chargé d’examiner la Personal Information Protection Act provinciale et prévoit de tenir des audiences publiques puis de publier un rapport en février.

« Il est très probable qu’en 2021 nous constaterons que des réformes majeures ont lieu dans toutes les régions du pays afin d’atteindre les seuils et de satisfaire aux exigences qui sont très similaires à ce que prévoit le RGPD », dit Me Henry, du cabinet BLG.

Colin Bennett pense que le gouvernement canadien ne devrait pas hésiter sauter sans attendre sur l’occasion qui lui est donnée d’agir. « Nous avons l’occasion de repenser immédiatement nos lois sur la protection des renseignements personnels et de devenir le lieu sûr en Amérique du Nord pour le traitement des données », dit-il.