Au cours de la dernière semaine, plusieurs usagers de médias sociaux (Twitter, Pinterest, Snapchat, etc.) ont reçu des avis par courriel relativement à l’entrée en vigueur d’une nouvelle politique de confidentialité. L’une des raisons principales qui peut expliquer cette vague de nouvelles politiques est l’entrée en vigueur du EU-US Privacy Shield, soit un accord intervenu entre la Commission européenne et les États-Unis relativement à l’échange et à la protection de renseignements personnels entre les deux territoires.
Bref historique
Le 25 juin 2013, l’Irlandais Maximillian Schrems a saisi le Data Protection Commissioner d’une plainte par laquelle il demandait d’interdire à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques américaines. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (« NSA »).
Dans sa décision, la Cour de justice de l’Union européenne (ci-après la « CJUE ») conclut que les pratiques de surveillance des États-Unis sont incompatibles avec les principes de protection des renseignements personnels de l’Union européenne, limitant ainsi le droit aux entreprises de transmettre des renseignements personnels de l’Europe vers les États-Unis.
Le EU-US Privacy Shield
Devant l’impasse, la Commission européenne et les États-Unis ont négocié le EU-US Privacy Shield, une nouvelle entente respectant les principes énoncés par la Cour dans la décision Schrems.
Dans cette entente, il est notamment question de trois modalités principales, soit :
-
D’imposantes obligations pour les entreprises traitant les renseignements personnels des Européens ;
-
De claires garanties de transparence concernant l’accès aux renseignements personnels des utilisateurs par le gouvernement américain ;
-
Une protection efficace des droits des citoyens de l’UE avec plusieurs possibilités de recours pour ces derniers.
Quel est l’impact au Canada ?
Cet accord entre la Commission européenne et les États-Unis n’est pas sans conséquence pour le Canada et le Québec.
D’une part, plusieurs entreprises canadiennes et québécoises transigent des données entre ces deux territoires et le EU-US Privacy Shield offre dorénavant un cadre réglementaire afin que ces entreprises puissent continuer d’opérer en toute légalité.
D’autre part, une décision de la Commission européenne datant du 20 décembre 2001 a reconnu que la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (« PIPEDA ») offrait une protection adéquate à l’égard des principes européens en matière de protection à la vie privée. Cependant, ces principes et la technologie évoluent très rapidement de sorte qu’il est prévisible que la Commission européenne ait à revoir les protections offertes par la PIPEDA prochainement et que le EU-US Privacy Shield soit utilisé comme modèle pour régir l’échange de renseignements personnels entre le Canada et l’Europe.
