Par Bernard Colas
Les entreprises états-uniennes faisant affaire en Europe ne pourront plus se prévaloir du bouclier de protection des données UE-États-Unis (en anglais, le Privacy Shield) pour transférer aux États-Unis les données à caractère personnel des utilisateurs de leurs services. Le bouclier de protection des données, adopté en 2016, était un accord encadrant le transfert de données à caractère personnel entre l’Union européenne (l’« UE ») et les États-Unis d’Amérique. Plusieurs entreprises états-uniennes transfèrent en effet les données à caractère personnel des utilisateurs étrangers de leurs services aux États-Unis, où celles-ci peuvent être scrutées par les services de renseignement états-uniens ; le rôle du bouclier de protection des données consistait en l’occurrence à empêcher les services états-uniens de pouvoir accéder aux données à caractère personnel des utilisateurs européens.
Le 16 juillet 2020, dans l’arrêt C-311/18, la Cour de justice de l’Union européenne (la « CJUE ») a renversé la décision de la Commission européenne de reconnaître le bouclier de protection des données comme un moyen de défense adéquat. Selon le département du Commerce des États-Unis, plus de 5300 entreprises se prévalaient jusqu’alors du bouclier de protection des données. La principale différence entre le bouclier de protection des données et son prédécesseur la sphère de sécurité (en anglais, le Safe Harbor), était la création, au titre du bouclier de protection des données, d’un médiateur (ombudsperson) états-unien dont le rôle était d’entendre les requêtes des citoyens de pays membres de l’UE et de rendre des décisions concernant la rectification ou la suppression de données à caractère personnel. Dans son arrêt, la CJUE conclut que le médiateur (ombudsperson) états-unien ne satisfait pas l’exigence d’indépendance et d’impartialité rattachée à ses fonctions, principalement car ce dernier peut être démis de ses fonctions à la discrétion du pouvoir exécutif états-unien.
Les clauses contractuelles types
Malgré l’arrêt de la CJUE, les clauses contractuelles types (en anglais, les Standard Contractual Clauses) demeurent un outil valable pour régir le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. Émises par la Commission européenne, les clauses contractuelles types se présentent sous la forme de deux ensembles de clauses contractuelles types signées par l’exportateur et l’importateur de données à caractère personnel. Ces deux ensembles de clauses contractuelles types visent à protéger contractuellement et conformément au Règlement général sur la protection des données (le « RGPD ») les données à caractère personnel quittant l’Espace économique européen (l’« EEE ») vers des territoires où la protection des données est jugée inadéquate. Les clauses contractuelles types interviennent entre l’exportateur et l’importateur de données, mais ne lie pas les autorités nationales d’un pays tiers, lesquelles pourraient contraindre l’importateur des données à rendre ces dernières accessibles à leurs services de renseignement. Lorsque le degré de protection requis par le droit européen n’est pas rencontré, le transfert des données doit être suspendu par celui qui en détient le contrôle. Depuis l’arrêt de la CJUE, il n’est pas clair comment les entreprises européennes et états-uniennes pourront garantir que leurs clauses contractuelles types destinées à transférer des données vers les États-Unis respectent désormais les normes de protection des données en vertu du droit européen. La répudiation du bouclier de protection des données souligne l’importance pour les entreprises de s’assurer que les données de leurs utilisateurs européens qu’elles transféraient en vertu de cet accord demeurent protégées par des contrats adéquats.
Une opportunité pour le Canada
L’arrêt de la CJUE doit rappeler au Canada la nécessité d’actualiser la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), entrée en vigueur en 2000, et qui encadre la protection des renseignements personnels dans le secteur privé. Le Québec, la Colombie-Britannique et l’Alberta ont quant à eux déjà entamé l’actualisation de leurs propres lois portant sur la protection des données à caractère personnel dans le secteur privé ; le Québec s’inspirant à cet égard du RGPD européen. Plusieurs experts estiment que l’arrêt de la CJUE représente une chance pour le Canada de devenir le lieu sûr en Amérique du Nord pour le traitement des données à caractère personnel.
Pour plus d’informations sur les accords internationaux et l’impact potentiel de cette décision sur les activités de votre entreprise, n’hésitez pas à contacter Me Bernard Colas ou l’un de nos autres avocats de CMKZ spécialisés en droit du commerce international.