La protection des données personnelles aux États-Unis, dans l’UE et au Canada : analyse comparative (2nde partie)

Cet article constitue la seconde partie de notre analyse transatlantique comparative portant sur la protection des données personnelles en Europe et en Amérique du Nord (États-Unis et Canada). Le présent article porte sur les différences de régime juridique. Pour en apprendre davantage sur les similarités, nous vous renvoyons à la première partie du présent article.

Les principales différences entre les approches américaine, européenne et canadienne en matière de protection des données personnelles

Comme vu précédemment, les conceptions différentes de la vie privée dans chaque juridiction ont mené à l’adoption de types de réglementations propres à chaque pays. D’une part, il y a aux États-Unis une méfiance fondamentale et profondément ancrée à l’égard du gouvernement (« Big Brother ») dès lors qu’il s’agit de réglementer la vie des personnes. Cette méfiance se traduit également dans le domaine de la protection des données à caractère personnel. Cette philosophie a été renforcée par les récents abus constatés dans l’application de la loi Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (USA PATRIOT Act) et par les révélations de Snowden. D’autre part, les récentes mesures législatives prises aux États-Unis au niveau des États pour la protection des données personnelles, telles que le CCPA en Californie (tel que modifié par le CPRA), ou encore les lois étatiques du Colorado, du Connecticut, de la Virginie ou de l’Utah, démontrent une volonté d’encadrer davantage les pouvoirs du gouvernement fédéral à ce niveau. Ainsi, on dénote une évolution évidente aux États-Unis vers un contrôle accru des individus sur le traitement de leurs données par les acteurs du marché privé.

Nous dénotons moins de méfiance à l’égard du gouvernement au sein des cultures européenne et canadienne. Son rôle est plutôt perçu en tant que protecteur des droits individuels contre les entreprises privées qui, parfois, peuvent mal gérer et protéger les données personnelles. Dans l’ensemble, l’UE et le Canada sont plutôt préoccupés par la violation de la protection des données personnelles par les entreprises que par un potentiel abus de la part du gouvernement à ce niveau. Soulignons néanmoins que certaines violations de la sécurité des données personnelles au sein d’entreprises américaines (touchant des sociétés telles qu’eBay, Citigroup, Target, Sony, Marriott ou Zoom) ont mené à une érosion de la confiance du public en ce qui concerne l’autorégulation des entreprises dans le domaine et ont suscité une surveillance gouvernementale accrue au niveau fédéral. Néanmoins, il demeure que l’UE et le Canada, d’une part, et les États-Unis, d’autre part, perçoivent tout de même le rôle de la surveillance gouvernementale d’une façon différente, à la fois de manière générale et en ce qui concerne la réglementation de la vie privée en particulier.

Il existe également une différence philosophique fondamentale quant à l’objectif et à la portée des lois sur la protection de la vie privée. Aux États-Unis, la protection des données personnelles est basée sur une liberté individuelle et a comme pilier la protection de l’individu contre l’ingérence du gouvernement. Pour les Européens, cela se fonde plutôt sur la protection de la dignité de la personne ou de son image publique. Au Canada, la protection des données est quant à elle axée sur l’autonomie individuelle par le biais du contrôle des données personnelles par la personne concernée.

1 – L’approche américaine

Les Américains préfèrent traditionnellement que leur gouvernement intervienne le moins possible dans leur vie privée. Les récents événements mondiaux, telles la menace du terrorisme (particulièrement depuis le 11 septembre 2001), l’adoption consécutive du USA PATRIOT Act et les révélations de Snowden, ont convaincu les citoyens américains que la vie privée doit, avant tout, être protégée d’une intrusion du gouvernement « Big Brother ». Des lois et des règlements relatifs à la protection des données personnelles ont été adoptés aux États-Unis afin de limiter l’activité du gouvernement et d’étendre la protection dans le secteur des données personnelles. Nous pouvons citer comme exemple le Electronic Communications Privacy Act de 1986 (ECPA) (adopté pour étendre les restrictions sur les écoutes téléphoniques par le gouvernement et étendant les interdictions quant à l’accès aux communications électroniques stockées), le Privacy Protection Act de 1980 (qui protège les journalistes et les newsrooms des perquisitions effectuées par les agents de l’État) et le Right to Financial Privacy Act de 1978 (qui vise à protéger la confidentialité des fichiers financiers personnels, mais uniquement contre les intrusions gouvernementales).

Bien que les lois américaines protègent le droit à la vie privée dans le secteur privé, elles n’adoptent pas l’objectif global des lois européennes sur la protection de la vie privée. Ainsi, c’est plutôt une approche sectorielle qui prévaut aux États-Unis. Qu’il s’agisse du FCRA (rapports de crédit), du Financial Modernization Act de 1999 (GLBA), du Cable Communications Policy Act de 1984, du Videotape Privacy Protection Act de 1988, du Telephone Consumer Protection Act de 1991, du HIPAA (qui vise les prestataires de soins de santé) ou du COPPA (qui visent la protection des enfants), le cadre législatif fédéral américain est sectoriel ne parvient pas à articuler une théorie juridique globale en matière de la protection de la vie privée et, plus précisément, des données personnelles. Ceci, combiné au large éventail de lois étatiques dans ce domaine, aboutit à un cadre réglementaire quant à la protection de la vie privée fragmenté. De cela découle l’adoption d’une protection plus large contre la collecte et l’utilisation des informations personnelles par le gouvernement et des exigences beaucoup plus faibles pour le secteur privé.

2 – L’approche européenne

Le Conseil de l’Europe, fondé en 1949, a élaboré une approche globale de la vie privée qui se veut complète. Celle-ci fut adoptée suite à la Seconde Guerre mondiale, où d’innombrables horreurs ébranlèrent le monde entier. Cela incluait entre autres l’utilisation des données personnelles à des fins militaires, telle la tenue de listes répertoriant les personnes juives dans les territoires occupés par les nazis. Les Européens de l’après-guerre ont estimé qu’il était évident que seule une telle approche pouvait protéger de manière adéquate la dignité et la sécurité des personnes. Cette même approche a été reprise par l’OCDE le 23 septembre 1980, lorsque l’organisation transatlantique adopta ses Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données personnelles. Plus récemment, l’adoption du RGPD, qui a comme finalité d’assurer aux résidents européens une protection des données personnelles globale et universelle renforce cette approche. Le RGPD transcende les secteurs d’activité et les domaines d’utilisation des données personnelles et couvre tout traitement de données personnelles, par quelque moyen que ce soit. Ses fondements sont un ensemble de principes, dont l’exigence d’une base légitime (« juste et licite ») pour tout traitement de données personnelles, la limitation de la finalité, l’exactitude des données, la proportionnalité, la transparence, la sécurité et la confidentialité des données, les droits d’accès, de rectification, d’effacement et d’opposition des personnes concernées, les restrictions aux transferts ultérieurs, une protection supplémentaire accordée lorsque des catégories spéciales de données et le marketing direct sont concernés, et l’interdiction des décisions individuelles automatisées. Cette approche globale est censée accorder une protection complète et solide aux libertés et droits fondamentaux des citoyens et résidents de l’UE.
Bien que les dispositions du RGPD doivent être directement incluses dans la loi nationale des pays européens dans 80 % des cas, certaines « dérogations nationales » permettent aux États membres de l’UE de bénéficier d’une flexibilité accrue dans plus de 50 domaines liés à la vie privée. Ainsi, les États pourront allouer à ces éléments un traitement différent tout en demeurant dans les clous de ce qui est prévu au RGPD. Cela mène parfois à des différences de traitement d’un pays de l’UE à l’autre.

3 – L’approche canadienne

Le cadre juridique canadien en matière de protection de la vie privée se situe à mi-chemin entre les régimes légaux américain et européen. Dans une certaine mesure, il fait écho aux préoccupations des États-Unis concernant la mise en place d’un gouvernement « Big Brother », tout en restant sceptique quant à l’utilisation des données à caractère personnel par le secteur privé. Bien que le Canada n’ait pas encore adopté une législation fédérale complète et unifiée régissant toutes les utilisations des données personnelles et couvrant tous les secteurs et domaines d’utilisation, il existe des lois sur la protection des données personnelles qui accordent des protections importantes tant dans le secteur public que dans le secteur privé. Spécifions cependant que le gouvernement canadien est actuellement en train d’étudier le Projet de loi C-27, c.-à-d. la Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, qui, une fois adoptée, réformerait en profondeur la LPRPDE.
En ce qui concerne le régime de protection proprement dit, le Canada est, malgré sa proximité géographique avec les États-Unis., plus proche du modèle européen ce qui concerne sa philosophie et son approche. La LPRPDE s’applique depuis 2004 à tous les secteurs de l’industrie non couverts par une loi provinciale jugée équivalente. Cette loi fédérale s’inspire d’ailleurs du Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation (CSA), qui comprend dix principes de protection de la vie privée (responsabilité, détermination des fins de la collecte, consentement, limitation de la collecte, limitation de l’utilisation, de la communication et de la conservation, exactitude, mesures de protection, ouverture, accès individuel et contestation de la conformité) très semblables aux principes énoncés dans le GDPR de l’UE.

Malgré sa structure fédérale décentralisée, le Canada a atteint un niveau d’uniformité supérieur à celui de l’UE, dont l’unité légale est compromise par le nombre de dérogations nationales permises par le RGPD et par les différences d’interprétation entre ses États membres quant à l’adoption des directives européennes. Au Canada, une loi provinciale jugée « substantiellement similaire » à la LPRPDE s’appliquera au lieu de la LPRPDE dans le territoire provincial concerné, sauf en ce qui concerne les activités gouvernementales intraprovinciales ou les activités dans les secteurs fédéraux. À ce jour, trois provinces ont adopté une telle loi : l’Alberta, la Colombie-Britannique et le Québec.

Conclusion

Malgré les similitudes existantes entre les régimes juridiques gouvernant la protection des données personnelles aux États-Unis, dans l’UE et au Canada, il existe également un nombre important de différences et de complexités propres à chacun de ces pays. Les professionnels œuvrant dans le secteur ainsi que les entreprises et entrepreneurs ayant des activités dans ces pays doivent bien connaître les spécificités des différents cadres réglementaires et doivent pouvoir naviguer avec aisance entre les différentes lois.

L’approche globale adoptée par l’UE dans le secteur a non seulement inspiré le Canada à offrir un « niveau de protection adéquat », tel qu’édicté à l’article 25 du RGPD, mais a également poussé le U.S. Department of Commerce à conclure successivement le Safe Harbor de 2000 et le cadre EU-U.S. Privacy Shield de 2016 avec la Commission européenne pour encadrer le transfert des données personnelles de l’UE vers les États-Unis. Soulignons que le Privacy Shield fut invalidé par la Cour de justice de l’Union européenne en 2020. L’administration Biden et les dirigeants européens ont depuis annoncé qu’ils travaillent de concert pour l’adoption d’un accord pour remplacer le Privacy Shield invalidé.

D’un autre côté, malgré les différences, nul ne peut nier que nous vivons dans un monde de plus en plus globalisé où les données personnelles doivent pouvoir traverser les frontières et où les régimes incompatibles représentent un frein au développement du commerce international. L’adoption du RGPD visait précisément à faciliter les activités commerciales au sein de l’UE, tant pour les entreprises nationales que pour les entreprises internationales cherchant à se développer dans l’Union. Bien qu’aux États-Unis, il y ait historiquement une opposition idéologique à tout projet d’introduction de lois fédérales sur la protection de la vie privée et de surveillance telles que celles adoptées dans l’UE et, dans une certaine mesure, au Canada, les choses sont en passe de changer. Le RGPD a eu une influence majeure sur l’adoption du CCPA en Californie et d’une législation comparable dans un certain nombre d’autres États américains. De plus, les récentes cyberattaques et autres violations massives de la sécurité des données personnelles détenues par les entreprises aux États-Unis ont suscité un nouveau sentiment d’urgence quant à l’importance de considérer la vie privée d’une façon plus globale.

Jusqu’à ce qu’une solution unique soit adoptée par tous les pays, les professionnels œuvrant dans le domaine de la protection des données personnelles et leurs clients devront continuer à naviguer entre les lois étatiques et fédérales aux États-Unis, entre le droit européen et les lois nationales adoptées par les différents États membres de l’UE, et entre les lois fédérales et provinciales au Canada.

Articles récents

Recevoir nos futurs articles*

* En renseignant votre adresse email afin de vous abonner à notre lettre d’information, vous consentez expressément au traitement de cette donnée personnelle aux fins de gestion des abonnements et d’envoi de notre lettre d’information. Vous pouvez à tout moment retirer votre consentement et demander à vous désabonner en nous contactant via notre “formulaire de contact”. Pour d’avantage d’information sur les traitements de données personnelles mis en œuvre sur ce site, veuillez consulter notre politique de protection des données.

Open chat
Hello, how can we help ?