Sommaires exécutifs 24 juil. 2020

Quelles sont les implications de la décision invalidant le Bouclier de protection des données UE-États-Unis sur votre entreprise?

Le 16 juillet dernier, la Cour de justice de l’Union européenne a rendu une décision attendue dans l’affaire de Facebook Ireland Ltd. v. Maximillian Schrems, invalidant le Bouclier de protection des données sur le transfert de données personnelles de l’Union européenne vers les États-Unis.

Danielle Miller Olofsson est coauteure du présent article.

Régissant les transferts de données entre l’Union européenne (« UE ») et les États-Unis, le Bouclier de protection des données de l’Union européenne - États-Unis (« BPD ») prévoyait un mécanisme afin que les entreprises des États-Unis et de l’UE se conforment aux exigences de protection des données lors de leurs transferts.

L’importance du BPD est telle qu’en son absence, les entreprises américaines transférant des données à partir de l’UE devront désormais mettre en place divers mécanismes, par exemple, des règles d’entreprise contraignantes ou des clauses types de protection des données (« Clauses types ») afin de garantir que les données personnelles traitées aux États-Unis bénéficient des mêmes protections que celles prévues par le Règlement général de protection des données de l’Europe (« RGPD »).

Selon le RGPD, les entreprises doivent adopter et se conformer à une série de mesures de protection de données comparables à celles de l’Europe, à moins qu’un pays bénéficie d’un statut d’adéquation, c’est-à-dire que la Commission européenne (la « Commission ») ait rendu une décision confirmant que le pays a des lois de protection de données similaires à celles de l’UE, donc adéquates. Jusqu’à présent, le BPD était une forme d’accommodement, puisque les États-Unis n’avaient pas obtenu un statut d’adéquation, contrairement au Canada.

Le 16 juillet, la Cour de justice de l’Union européenne (« CJUE ») a invalidé le BPD, plongeant ainsi les entreprises américaines dans une grande incertitude quant au transfert de données personnelles à partir de l’UE. Cet arrêt peut être interprété comme un avertissement pour le Canada dont le statut d’adéquation doit être renouvelé.

Le contexte

En 2013, l’Autrichien Maximillian Schrems introduit une demande contre Facebook Irlande pour bloquer le transfert de données de l’UE à Facebook États-Unis où celles-ci étaient traitées. Il y invoque qu’une fois les données aux États-Unis, elles ne bénéficient pas d’une protection suffisante contre des accès par des autorités publiques américaines. En 2015, la CJUE, à qui la High Court of Ireland avait référé l’affaire, renverse la décision de la Commission (la « Safe Harbour Decision »), affirmant que les modalités alors existantes pour le transfert entre l’UE et les États-Unis sont adéquates. Facebook réagit alors en adoptant des Clauses types selon lesquelles il lui était permis de transférer des données de l’UE vers les États-Unis. Ces Clauses types furent approuvées par la Commission. Les États-Unis et l’UE se sont ensuite entendus quant au BPD afin de faciliter le transfert de données entre les États-Unis et l’UE, entente approuvée par la Commission en 2016.

La présente affaire Facebook Ireland Ltd. v. Maximillian Schrem (« Schrems ») fait suite à une demande reformulée par ce dernier afin de bloquer le transfert de données par Facebook à partir de l’UE vers les États-Unis, puisque ces données ne sont pas, dans le cadre du BPD, adéquatement protégées à l’encontre des autorités publiques américaines. Cette demande a été référée à la CJUE par la High Court of Ireland afin de déterminer les questions suivantes :

  • Le RGPD s’applique-t-il aux transferts de données personnelles faisant l’objet de Clauses types?
  • Quel est le niveau de protection requis par le RGPD pour un tel transfert?
  • Quelles sont les obligations incombant aux autorités de contrôle dans ces juridictions? et
  • Quelle est la validité de la décision de la Commission entérinant le BPD?

La décision

L’arrêt Schrems confirme essentiellement la décision de la Commission qui accepte le transfert de données par le biais de Clauses types, mais annule la décision de la Commission validant le BPD. La CJUE affirme que l’accès par les autorités publiques américaines aux données de non-résidents américains n’est pas circonscrit de la même façon que le RGPD, c’est-à-dire sujet à une forme de proportionnalité limitant l’accès par des règles claires et précises. Elle affirme également que le mécanisme de médiation prévu par le BPD (« Ombudsman mecanism ») n’accorde pas de protection adéquate aux individus qui voudraient faire valoir leurs droits.

Cette décision édicte également ce qui suit :

  • Le RGPD s’applique aux transferts de données à des fins économiques par des entités situées dans l’UE vers d’autres situées à l’extérieur de l’UE;
  • Le niveau de protection requis pour le transfert des données à partir de l’UE devrait être essentiellement le même que celui offert par le RGPD ou la Charte des droits fondamentaux de l’UE;
  • En l’absence d’une décision d’adéquation, une autorité de protection des données doit suspendre le transfert de données à partir de l’UE réalisé en vertu de Clauses types s’il est démontré que ses règles ne peuvent être respectées; et
  • Les entités situées dans l’UE qui transfèrent des données en utilisant des Clauses types doivent s’assurer que les lois de la juridiction où elles sont reçues prévoient les protections contenues aux Clauses types.

Comme indiqué, l’arrêt Schrems plonge les entreprises américaines dans une grande incertitude quant à leurs transferts de données à partir de l’Europe, puisqu’elles ne bénéficient plus de la protection qui leur était accordée par le BPD. L’arrêt impose également un fardeau important aux entités de l’UE qui transfèrent des données vers des pays qui ne bénéficient pas d’un statut d’adéquation. Ces entités devront dorénavant examiner à la loupe les Clauses types qui sont en place eu égard aux lois de la juridiction où les données sont transférées afin de s’assurer que ses lois permettent le respect des protections prévues dans ces clauses.

Effets possibles pour les entreprises canadiennes

Jusqu’à ce jour, les entreprises canadiennes sujettes à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », aussi connue sous l’acronyme anglophone PIPEDA) ont été en mesure de bénéficier du statut d’adéquation du Canada relativement aux transferts de données de l’UE. Une des plus grandes faiblesses de la LPRPDE est son modèle de médiation en vertu duquel un individu peut déposer une plainte au Commissaire à la vie privée (« CVP ») alors que ce dernier ne dispose toutefois que d’un pouvoir de recommandation pour remédier à une violation. En effet, le CVP n’a aucun pouvoir coercitif et, ce faisant, ne peut protéger les droits d’un individu de la même façon que le RGPD. Cette lacune et bien d’autres de la LPRPDE seront-elles suffisantes pour révoquer le statut d’adéquation du Canada dans l’éventualité où la législation canadienne ne soit pas bientôt amendée?

Pour les entreprises sujettes à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, l’arrêt Schrems doit servir d’avertissement. En effet, cette loi a déjà été jugée inadéquate par un comité consultatif de la Commission en 2014. Si le projet de loi 64, qui propose des modifications substantielles à cette loi afin de la rendre conforme au RGPD, n’est pas adopté rapidement, les entreprises québécoises n’auront d’autre choix que d’adopter des Clauses types ou autres mécanismes onéreux afin de continuer à recevoir des données provenant de l’UE.

La décision Schrems a une très grande incidence sur les entreprises américaines qui transfèrent des données de l’UE. Elle illustre à quel point l’UE est sérieuse dans sa démarche pour faire reconnaître ses règles de protection des données, même de façon extraterritoriale. Ainsi, les entreprises canadiennes qui transfèrent des données de l’Europe ne devraient pas tenir pour acquis que le statut d’adéquation actuel du Canada et la LPRPDE les protégeront. Elles devraient plutôt commencer à considérer l’adoption de Clauses types afin de protéger de tels transferts de données.

Restez à l’affût!

Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.

Inscrivez-vous

Vous aimeriez aussi

Projet de loi 82 : un pas de plus vers l’identité numérique nationale (et modifications à d’autres dispositions!)

Forum Repreneuriat

Forum Repreneuriat : Vision 2025

La protection de la vie privée dans le sport : N’attendez pas d’être mis en échec!

Obligation en matière de signalement des incidents de sécurité de l’information : l’Autorité des marchés financiers suit la vague et publie un nouveau règlement

Droit à la portabilité : votre organisation est-elle prête?

Forum Tech 360

Forum Tech 360 : croissance et points d’inflexion

Prospera – Baromètre économique du Québec

Sociétés les mieux gérées au Canada : BCF reconnue pour une 17e année consécutive

BCF renforce son expertise en intelligence artificielle

nouveaux-associes-2024-fr

BCF nomme trois nouveaux associés

Who’s Who Legal : 5 professionnels de BCF nommés dans le Guide

BCF poursuit son partenariat avec l’Association des avocats noirs du Canada pour une troisième année

Démystifier les Évaluations des facteurs relatifs à la vie privée (EFVP)

Le contrat de traitement de renseignements personnels : un incontournable à implanter

camera-on-a-wall

Le plan de réponse aux incidents : la base d’une gestion de crise efficace

forum-privacy

Forum stratégique sur la protection des données d’entreprise

Chambers Canada : cinq de nos avocats se démarquent

Photo de Julie Doré

Julie Doré prend la direction du cabinet BCF avocats d’affaires

Prospera – Baromètre économique du Québec

Julien Tricart, membre du « Meritas Sports Law Group »

Mois de la fierté : créons un futur inclusif

Sociétés les mieux gérées au Canada : BCF reconnue pour une 16e année consécutive

Nouvelles exigences applicables en matière de protection des renseignements personnels : votre entreprise est-elle conforme?

Chaque femme compte

Forum stratégique sur le rôle des entreprises dans la lutte aux changements climatiques

BCF s’associe avec l’Association des avocats noirs du Canada pour encourager la diversité dans les facultés de droit du Québec

Virage plus inclusif pour BCF : bonification du congé de parentalité

Shaun E. Finn nommé Juge à la Cour supérieure du Québec

Comment assurer une relève d’entreprise?

Cahiers noirs avec feuilles

Projet de loi 78 sur la transparence des entreprises : êtes-vous prêts?

Forum stratégique sur la consolidation de marché et la relève d’entreprise

BCF s’associe à la Clinique Juridique de Saint-Michel pour favoriser l’accès aux études en droit auprès des jeunes issus de la diversité

Quelles sont les pratiques à adopter pour bien gérer les incidents de confidentialité?

Shaun E. Finn, co-auteur de l’ouvrage In the Public Eye: Privacy, Personal Information, and High Stakes Litigation in the Canadian Public Sector

S’approprier des renseignements personnels sans consentement peut-il justifier l’autorisation d’une action collective?

Cinq de nos avocats s’illustrent dans l’édition 2023 du classement Chambers Canada

Projet de loi C-27 : une loi attendue en matière de cybersécurité et vie privée au Canada

La perte de renseignements personnels est-elle suffisante pour justifier le succès d'une action collective au fond?

Projet de loi C-26 : le gouvernement fédéral se penche sur la cybersécurité et la vie privée

Jocelyn Poirier, chef de la protection des renseignements personnels de BCF

43 professionnels de BCF se distinguent avec 78 nominations dans les éditions 2023 de Best Lawyers in Canada et Ones to Watch

Sept nouveaux avocats se joignent à BCF

Adoption du projet de loi no. 96 : soyez prêts

Mois de la fierté : la richesse de la diversité

BCF, 3e plus grand cabinet juridique au Québec

Sociétés les mieux gérées au Canada : BCF reconnue pour une 15e année consécutive

BCF est reconnue par le Globe and Mail comme l’un des meilleurs cabinets d’avocats au Canada

Chambers Canada 2022 : BCF s’est classée au premier rang au Québec en droit corporatif et commercial

Sept avocats de la relève se joignent à BCF

L’action collective en matière de protection de la vie privée et des données

Une action collective pour atteinte à la vie privée rejetée sur le fond : une première au pays

BCF accueille sept nouveaux avocats parmi ses rangs

Collaboration à l’ère de la COVID-19 : considérations juridiques pour des partenariats réussis entre l'IA et les soins de santé

Shaun E. Finn et Danielle Miller Olofsson publient un ouvrage de référence sur les actions collectives en matière de protection de la vie privée et des données

Enquête sur une application de Tim Hortons

Le projet de loi 64 du Québec modifiant la loi sur la protection des données : un projet de loi qui a du mordant?

L’utilisation de caméras thermiques dans les commerces est-elle conforme aux lois de protection de la vie privée?

COVID-19 : des solutions pour faire face à la situation

COVID-19 : enfin une boîte à outils pour les développeurs d’applications de géolocalisation

Traquer la pandémie de la COVID-19 grâce aux cellulaires

COVID-19: n'oubliez pas la protection des données dans votre stratégie de réponse face à la crise

BCF se classe de nouveau parmi les meilleurs employeurs à Montréal

BCF nomme 16 nouveaux associés pour son 25e anniversaire

Le contrôle conjoint et les risques liés à l’utilisation des modules de site Web

Êtes-vous précurseur ou suiveur?Résultats du sondage sur l’innovation

Chambers Canada 2020: BCF reconnue en droit corporatif et commercial

Forum stratégique sur l'innovation

Les différentes approches législatives face au 5G

Innover pour survivre: êtes-vous précurseur ou suiveur?

Vous implantez un nouveau système technologique en entreprise? Pensez à protéger vos données

La technologie 5G est à nos portes: à quoi faut-il s’attendre?

Les enjeux juridiques de la révolution industrielle 4.0

Qu’advient-il des actions collectives québécoises en matière de vie privée?

Faire la lumière sur le Cloud Act

Google et la CNIL, une affaire de consentements mal obtenus

Pratiques à adopter pour les entreprises québécoises recevant des données européennes

L’anonymisation ? En êtes-vous certains ?

Le Deep Web et le Dark Web démystifiés pour les entreprises

RGPD: comment vous y préparer

Nouvelles mesures de l'Union européenne en matière de protection des données

Votre entreprise collecte-t-elle trop de données et les protège-t-elle bien ?

Découvrez notre intelligence d'affaires