Me Amina Khaoua, avocate aux barreaux de Versailles et Québec, nous informe sur les implications au Canada du Règlement général de l’Union européenne sur la protection des données à caractère personnel.
Internet, la numérisation des biens et des services et la globalisation des échanges ont transformé l’économie mondiale en facilitant la circulation des données personnelles dans le monde.
Une donnée à caractère personnel est définie comme toute information se rapportant à une personne physique pouvant être identifiée directement ou indirectement par quelqu’un, quel que soit le moyen utilisé. Les données directement identifiantes prennent souvent la forme des nom et prénom, d’une photo, d’un courriel nominatif, etc., alors que les données indirectement identifiantes correspondent habituellement à une empreinte digitale, un numéro de sécurité sociale, etc. Il est également possible d’identifier une personne physique par le recoupement d’informations anonymes : par exemple, le fils du notaire habitant au 11 bd Raspail…
Que ce soit par le biais de l’hébergement ou de la transmission de données à un sous-traitant, les échanges commerciaux reposent de plus en plus sur les flux de données à caractère personnel. Ainsi, la confidentialité et la sécurité de ces données sont devenues des enjeux centraux garantissant à la fois la confiance des consommateurs et la compétitivité et l’engagement des entreprises en la matière.
Toutefois, le transfert[1] et le traitement[2] de données à l’extérieur de l’Union européenne (UE) et de l’Espace économique européen (EEE) n’est pas sans constituer un risque pour le droit à la vie privée des personnes physiques qui rendent des informations les concernant de plus en plus accessibles publiquement et à un niveau mondial. Le transfert de ces données pose le problème de la vulnérabilité et des insuffisances juridiques des pays hors de l’UE qui ne prévoient pas de protection ou une faible protection des données à caractère personnel.
Pour écarter ces risques essentiellement liés au niveau de protection juridique du pays tiers, le Règlement général de l’Union européenne sur la protection des données à caractère personnel (RGPD), entré en vigueur le 25 mai 2018, a posé un cadre juridique stricte et homogénéisé visant à protéger les données des personnes physiques tout en permettant leur libre circulation au-delà de l’espace européen.
C’est ainsi que le responsable de traitement[3] ou le sous-traitant[4] ne peut transférer des données à caractère personnel que vers un pays se trouvant à l’extérieur de l’UE ayant une législation reconnue par la Commission européenne comme offrant une protection des données à caractère personnel équivalente à celle existante en Europe.
À ce jour, les pays qui ont mis en place une telle protection sont la Suisse, l’Israël, l’Argentine, le Paraguay, la Nouvelle-Zélande et le Japon.
Le Canada a une législation reconnue par l’UE comme étant en adéquation partielle avec les normes européennes, car seules les règles sur les transferts de données portant sur des traitements réalisés dans le cadre d’activités commerciales satisfont l’UE et ne nécessitent donc pas d’encadrement spécifique.
Au contraire, les autres transferts de données personnelles vers le Canada doivent être encadrés par des outils de transfert spécifiques exigés par le RGPD.
Quels sont ces outils juridiques prévus par le RGPD permettant d’encadrer ces transferts lorsqu’un État tiers n’est pas reconnu comme offrant un niveau de protection adéquat ?
Le RGPD prévoit les modalités suivantes[5] :
- La signature entre les organismes expéditeur et destinataire des données de clauses contractuelles types inspirées des modèles de la Commission européenne.
- L’adoption de « règles internes d’entreprise » (binding corporate rules ou BCR) par les entités d’un groupe dont le transfert a lieu entre elles. Ces règles internes constituent un code de conduite propre à l’entreprise qui encadre la sécurité des transferts de données.
Ce mécanisme concerne essentiellement les groupes internationaux plus sensibles aux questions de transferts à cause de leur organisation et de leur structuration.
Cet outil présente plusieurs avantages. En effet, la mise en place de BCRs constitue un instrument pertinent permettant d’encadrer les transferts non seulement entre les entités européennes et non-européennes, mais également entre les entités non-européennes elles-mêmes. Au sein d’un groupe, ce cadre de référence permet en outre de déployer une politique uniforme, de faciliter le respect du RGPD et même de simplifier le contrôle de la conformité qui doit être effectué par le ou la délégué-e interne à la protection des données à caractère personnel (Data Protection Officer).
Le RGPD prévoit également la possibilité de mettre en place des BCRs entre des entreprises engagées dans une activité économique commune. La mise en place de BCRs ne serait donc plus limitée à un groupe d’entreprise.
- L’adhésion par le destinataire des données établi aux États-Unis d’Amérique au Privacy Shield.
Le Privacy Shield est un mécanisme d’auto-certification pour les sociétés établies aux États-Unis et concerne tout type de données à caractère personnel transférées depuis une entité européenne vers les États-Unis. Ces données incluent par exemple les données traitées dans le cadre de relations commerciales, des données de santé ou encore les données relatives aux ressources humaines, pour autant que la société américaine destinataire se soit auto-certifiée à ce dispositif.
- L’application par le destinataire des données d’un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l’autorité européenne de protection des données compétente.
- Une certification assortie de l’engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant situé dans un pays non-membre de l’UE afin d’appliquer les garanties appropriées.
- Lorsque le transfert se fonde sur un des cas dérogatoires mentionnés à l’article 49 du RGPD. Il s’agit par exemple de la sauvegarde de la vie d’une personne, de la constatation à l’exercice ou à la défense de droits en justice, de l’intérêt public, du consentement explicite au transfert envisagé par la personne concernée, etc.
Cependant, les responsables de traitement ne doivent recourir à ces exceptions qu’après s’être efforcés de mettre en place des garanties appropriées et ne doivent se fonder sur ces exceptions qu’en l’absence de telles garanties.
- Une autorisation préalable de la Commission nationale de l’informatique et des libertés (CNIL) devra être accordée en cas de clauses contractuelles propres différentes des clauses types ou en cas de dispositions intégrées dans les arrangements entre autorités et organismes publics.
Il est à savoir qu’en cas de manquement à l’application de ces modalités, le responsable de traitement qui transfère les données risque des sanctions pécuniaires. D’ailleurs, l’innovation première du RGPD est le montant considérable des sanctions pécuniaires ordonnées par l’autorité de contrôle en cas de manquements à la réglementation en vigueur.
La portée de ces sanctions ne concerne toutefois que le responsable de traitement exerçant au sein de l’UE : il relève donc de sa responsabilité de vérifier que ses sous-traitants situés à l’extérieur de l’UE respectent scrupuleusement les dispositions contractuelles précisées à l’article 28 du RGPD lorsqu’ils transfèrent des données à caractère personnel.
[1] On entend par « transfert » de données à caractère personnel toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne : Commission nationale de l’informatique et des libertés (CNIL), « Transfert de données », Glossaire, [en ligne] https://www.cnil.fr/fr/definition/transfert-de-donnees.
[2] On entend par « traitement » de données à caractère personnel toute opération ou ensemble d’opérations portant sur les données à caractère personnel, quel que soit le procédé utilisé et la finalité recherchée. Les opérations portant sur les données personnelles incluent par exemple la collecte, l’organisation, l’utilisation et la destruction des données. Dans son expression la plus simple, dès lors que vous notez un nom et/ou un prénom sur une feuille de papier et que vous rangez cette feuille dans votre armoire dans des dossiers suspendus identifiés, cela devient un traitement de données. Pour une définition exhaustive, voir Commission nationale de l’informatique et des libertés (CNIL), « Traitement des données personnelles », Glossaire, [en ligne] https://www.cnil.fr/fr/definition/traitement-de-donnees-personnelles.
[3] Le « responsable de traitement » est la personne morale (entreprise, commune, etc.) ou physique représentante légale de l’organisme, du service ou de l’autorité publique qui détermine la finalité et les moyens du traitement des données à caractère personnel mis en œuvre. Par exemple l’avocat détermine seul la finalité et les moyens du traitement de la donnée qu’il collecte de son client. Il n’agit pas sur instruction de ce dernier. Lorsqu’il y a plusieurs associés dans un cabinet, ils seront responsables de traitement conjoints. Pour une définition exhaustive, voir Commission nationale de l’informatique et des libertés (CNIL), « Responsable de traitement », Glossaire, [en ligne] https://www.cnil.fr/fr/definition/responsable-de-traitement.
[4] Est « sous-traitant » toute personne traitant des données à caractère personnel pour le compte, sous la direction et la responsabilité du responsable de traitement dans le cadre d’un service ou d’une prestation (par exemple, l’hébergeur des données du cabinet d’avocats). Pour une définition exhaustive, voir Commission nationale de l’informatique et des libertés (CNIL), « Sous-traitant », Glossaire, [en ligne] https://www.cnil.fr/fr/definition/sous-traitant.
[5] Voir Commission nationale de l’informatique et des libertés (CNIL), Les outils de la conformité, [en ligne] https://www.cnil.fr/fr/les-outils-de-la-conformite.
