En tant qu’avocat transatlantique, je suis amené à conseiller de façon routinière les entreprises dans leur conformité aux lois et autres réglementations protégeant les données personnelles dans les différents pays dans lesquels elles collectent des données à caractère personnel. Fort de cette expérience j’ai pu constater l’importance pour tout professionnel de cette matière de comprendre les différences culturelles et de tradition juridique sur lesquels ce domaine du droit s’est bâti en Europe et en Amérique du Nord.
Cet article, divisé en deux parties, résume les approches idéologiques fondamentalement différentes de l’Union européenne (UE), des États-Unis, et du Canada en matière de protection des données personnelles, ainsi que les différents cadres juridiques mis en place par ces trois pays ou régions (dans le cas de l’UE) pour réglementer ce domaine du droit.
Nous proposons une analyse comparative scindée en deux articles, ce premier article exposant les similitudes entre les lois américaines, européennes et canadiennes en matière de protection des données personnelles, et un second article, qui présentera les principales différences entre les approches réglementaires américaine, européenne et canadienne dans ce domaine
Les similitudes entre les lois américaines, européennes et canadiennes en matière de protection des données personnelles
Malgré de nettes différences quant à la protection juridique accordée aux données personnelles, les trois régions ont toutes adopté une approche juridique à plusieurs niveaux.
A) Les lois sur la protection des données personnelles aux États-Unis.
Aux États-Unis, la réglementation fédérale, portée par un certain nombre de lois telles que le Fair Credit Reporting Act de 1970 (FCRA), le Health Insurance Portability and Accountability Act de 1996 (HIPAA), le Gramm-Leach-Bliley Act de 1999 (GLBA), le Children’s Online Privacy Protection Act de 1998 (COPPA), le Privacy Act de 1974, ou le Freedom of Information Act de 1966 (FOIA), s’applique parallèlement à un corpus de centaines de lois étatiques sur la protection des données personnelles. Ainsi, les lois fédérales étatiques se juxtaposent et, parfois, se contredisent, notamment en ce qui concerne les obligations de notification, des failles de sécurité et de la confidentialité des données personnelles dans le secteur de la santé.
Certaines lois fédérales sur la protection des données personnelles, telle le FCRA, prévalent sur les législations étatiques (ce qui signifie que les États ne peuvent pas individuellement imposer d’exigences supplémentaires), alors que ce n’est pas le cas pour d’autres lois, telle l’HIPAA. Pour ajouter à la complexité de la situation légale dans le secteur, certaines lois visent à faire les deux. Par exemple, le California Consumer Privacy Act (CCPA) de 2018 exclut de son champ d’application les données personnelles régies par le FCRA, le GLBA ou l’HIPAA, mais exige que les entités couvertes par l’HIPAA se conforment également au CCPA en ce qui concerne les données personnelles ou les données de santé qui ne correspondent pas à la définition de donnée de santé (Personal Health Information) de l’HIPAA.
Vu la complexité de l’environnement juridique, tout professionnel fournissant des conseils sur la législation américaine applicable en matière de la protection des données personnelles se doit de maîtriser non seulement les réglementations fédérales, mais aussi les lois étatiques applicables dans tous les États américains où ses clients exercent leurs activités ou collectent et traitent des données personnelles.
B) Les lois de l’Union européenne sur la protection des données personnelles
La législation adoptée au niveau de l’Union Européenne (UE), telle que le Règlement général sur la protection des données (RGPD) 2016/679 de 2016, ou la Directive « ePrivacy » sur la protection de la vie privée dans le secteur des communications électroniques 2002/58/CE de 2002 (modifiée en 2009 par la Directive 2009/136/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques s’applique en parallèle des législations nationales des 27 États membres de l’Union Européenne sur la vie privée, telle la loi française « Loi Informatique et Libertés » n° 78-17 de 1978 (telle que modifiée par la loi n°2018-493 de 2018) ou encore la loi britannique sur la protection des données personnelles de 2018 (le Data Protection Act, lequel avait été passé avant l’entrée en vigueur du Brexit – pour plus d’informations sur les modifications à attendre de la législation britannique suite à la sortie du Royaume Uni de l’Union Européenne voir notre article à ce sujet). Il est important de noter que les directives de l’UE ne sont pas automatiquement applicables dans les États membres. Elles fixent plutôt des objectifs minimaux à atteindre par les ces derniers et des délais à l’expiration desquels les pays de l’Union devront avoir intégré la directive européenne dans leur droit national. Cela accorde une certaine souplesse aux pays de l’UE, mais entraîne également des variations au niveau des lois d’un État à l’autre. Les règlements de l’UE sont, quant à eux, des actes législatifs contraignants et doivent être appliqués dans leur intégralité dans toute l’UE. Il y a une exception notable à ce principe : le RGPD permet aux États membres de prévoir certaines exceptions au niveau national (appelées « dérogations nationales ») dans plus de 50 secteurs du Règlement (pour plus d’informations, lisez notre article sur le sujet).
Tout professionnel qui conseille sur les lois de l’UE relatives à la protection des données personnelles se doit de bien connaître non seulement les directives et règlements de l’UE, mais aussi les lois des pays dans lesquels ses clients traitent les données personnelles.
C) Les lois sur la protection des données personnelles au Canada
De façon similaire, au Canada, les lois fédérales sur la protection des données personnelles, telles la Loi sur la protection des renseignements personnels de 1983, qui régit le traitement des renseignements personnels par le gouvernement fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques de 2000 (LPRPDE) qui régit le traitement des renseignements personnels dans le secteur privé, côtoient la Charte canadienne des droits et libertés et les lois et réglementations provinciales et territoriales adoptées dans le domaine, telle la Charte québécoise des droits et libertés de la personne, propre au Québec. En outre, chaque province et territoire du Canada possède ses propres lois spécifiques sur la protection des données personnelles (telle la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels au Québec).
Les provinces de l’Alberta, du Saskatchewan, du Manitoba et de l’Ontario ont également leurs propres lois sur la protection des données personnelles dans le domaine de la santé, telle la Loi sur la protection des renseignements personnels sur la santé (LPRPS) en Ontario. En ce qui concerne l’utilisation des données personnelles dans un contexte commercial, le Québec a également adopté la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) (dont un certain nombre de modifications clés ont été introduites par la loi 25), le Personal Information Protection Act en Alberta, le Personal Information Protection Act en Colombie-Britannique ou la Loi sur la protection des renseignements personnels dans le secteur privé au Québec. Ces lois prévalent sur la LPRPDE sur le territoire provincial concerné.
Tout comme aux États-Unis et dans l’UE, un professionnel canadien œuvrant dans le domaine de la protection des données personnelles, ou tout professionnel étranger dont les clients sont basés au Canada ou qui ont des activités dans le pays doivent connaître non seulement les lois fédérales sur la protection des données personnelles et la Charte canadienne, mais aussi les lois provinciales, territoriales, et parfois sectorielles applicables.
Malgré certaines similitudes, des distinctions majeures différencient ces trois régimes juridiques. Ces différences sont principalement d’ordre philosophique. En effet, les États-Unis, l’UE et le Canada ont une interprétation différente de ce qui devrait constituer les piliers sur lesquels repose leur régime juridique sur la protection des données personnelles. Ce positionnement divergent mène à des méthodes d’analyse du risque variées et, in fine, à l’adoption de cadres réglementaires profondément distincts. Nous vous proposons de lire notre article sur le sujet ici.