Plus de "Safe Harbour" : Est-ce important au Canada ?

La semaine dernière, la Cour de justice de l'Union européenne (CJUE), la plus haute juridiction d'Europe, a rendu un arrêt qui adopte une position ferme et de principe sur le droit à la protection des données, et qui pourrait avoir des répercussions pour le Canada. L'arrêt a déclaré nul l'accord sur la sphère de sécurité qui permettait les transferts de données entre l'UE et les États-Unis.

L'affaire en question était Schrems c. Commissaire à la protection des données. Tout a commencé lorsque Max Schrems, un étudiant en droit autrichien à l'époque où l'affaire a débuté, et son groupe de défense "Europe contre Facebook", ont déposé une plainte contre Facebook Ireland Ltd, le siège européen de Facebook, auprès du commissaire irlandais à la protection des données. Ils ont affirmé que les révélations de Snowden montraient clairement que Facebook Ireland Ltd. violait les lois européennes sur la protection des données en partageant des données avec sa société mère américaine, car on savait que l'Agence de sécurité nationale américaine (NSA) surveillait activement les données des réseaux sociaux par le biais de son programme PRISM. Ils ont également affirmé qu'il est problématique que les Européens n'aient aucun moyen de savoir quand leurs données sont saisies, et aucun recours juridique s'ils soupçonnent une telle saisie.

Facebook, et plus de 4000 autres entreprises, comptaient sur un accord négocié, familièrement appelé "Safe Harbour", pour rendre légal en droit européen le partage de données entre leur siège européen et leur base américaine. Dans les années 1990, l'Union européenne a adopté une directive qui a uniformisé la législation sur la vie privée en Europe et a établi des lignes directrices pour protéger les données lors de leur transfert d'un pays à l'autre. La directive exigeait également que tout pays souhaitant recevoir les données des citoyens européens fournisse une protection équivalente à celle dont il bénéficiait au sein de l'UE. Le Canada a adopté la Loi sur la protection des renseignements personnels et les documents électroniquesou la LPRPDE, qui a été jugée adéquate. Les États-Unis ont choisi de ne pas adopter de législation essentiellement similaire pour répondre à cette exigence de l'UE, et ont plutôt négocié l'accord sur la sphère de sécurité, qui permet aux entreprises américaines de "signer" un ensemble de principes de protection de la vie privée négociés entre les États-Unis et l'UE.

Le commissaire irlandais à la protection des données a refusé d'enquêter ; M. Schrems a fait appel devant la Haute Cour d'Irlande, qui a renvoyé à la CJUE la question de savoir si elle pouvait légitimement statuer sur l'accord de la Commission européenne sur la sphère de sécurité ou le remettre en question devant un tribunal national.

Grâce au la récente décisionLa CJEU a confirmé que les autorités nationales peuvent examiner les plaintes, bien que seule la CJEU puisse décider si une décision de la Commission est valable. Ils ont ensuite déclaré l'accord sur la sphère de sécurité invalide, pour trois raisons principales :

  • Les protections de la sphère de sécurité s'appliquaient uniquement aux entreprises qui certifiaient qu'elles étaient conformes, et non à l'État qui avait néanmoins accès aux données, ce qui laissait les données potentiellement disponibles sans protection appropriée".compromettre l'essence du droit fondamental au respect de la vie privée.”
  • Les citoyens européens ne disposent d'aucun recours pour contester l'utilisation ou l'interception de leurs données par l'État, qui "...compromet l'essence du droit fondamental à la protection judiciaire.
  • La décision sur la sphère de sécurité a privé les autorités nationales de contrôle de la capacité de s'acquitter de leur responsabilité de veiller à ce que le partage des données soit compatible avec la vie privée et les libertés et droits fondamentaux des personnes qui portent plainte devant elles, ce que la Commission n'avait pas le droit de faire.

Martin Scheinin, l'ancien rapporteur spécial des Nations unies sur les droits de l'homme et la lutte contre le terrorisme, a noté que la décision de la CJUE est très importante parce qu'elle a pris fermement position contre la surveillance de masse. En déclarant que l'accès des autorités publiques à des données de communication confidentielles ou spécifiques à un groupe constitue une intrusion dans la vie privée, qu'elles traitent ou non ces données, la décision contredit fermement la position habituelle des agences de renseignement selon laquelle elle n'est pas envahissante si les données restent non traitées. Scheinin appelle cela "un coup énorme porté à de nombreuses méthodes actuelles de surveillance électronique de masse". (https://www.justsecurity.org/26781/adding-nuance-context-max-schrems-case-safe-harbor/)

Alors, comment le Canada entre-t-il dans cette équation ? La décision concernait clairement les États-Unis, et le Canada se trouve dans une position différente, ayant adopté la LPRPDE et ne s'appuyant pas sur la décision relative à la sphère de sécurité. Le problème est qu'en tant que membre de l'Alliance Five Eyes, il est fort probable que le gouvernement canadien ait un accès similaire aux données via la surveillance des renseignements qui a suscité l'inquiétude de la cour en ce qui concerne les interceptions de la NSA. En outre, avec l'adoption du projet de loi C-51, le Loi antiterroriste, 2015qui accroît de manière exponentielle le potentiel de partage d'informations, il est de plus en plus probable que nous n'atteignions pas non plus le seuil élevé de protection de la vie privée pour le partage transatlantique des données, qui a été établi par l'UEJE.

Jonah Kanter
fr_CAFrançais du Canada