Les États-Unis et l’Union européenne ont récemment conclu une nouvelle entente de principe pour permettre aux entreprises américaines de continuer à recueillir, utiliser et communiquer des renseignements personnels de citoyens européens dans le respect de leurs droits fondamentaux.

Pour bien comprendre l’importance de cette nouvelle entente, il faut savoir que dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne avait déclaré invalide l’ancien régime de partage des données – surnommé « Safe Harbor » – qui encadrait notamment la conservation par de nombreuses entreprises américaines, dont les géants du Web comme Facebook et Google, de renseignements personnels concernant des européens. Cet accord transnational prévoyait un mécanisme d’auto-certification des entreprises américaines par lequel ces dernières s’engageaient à respecter un certain nombre de principes directeurs applicables dans l’Espace économique européen (EEE), moyennant quoi elles pouvaient obtenir l’autorisation de recueillir et conserver des renseignements personnels en provenance de l’Union européenne. Rappelons qu’un accord de cette nature est nécessaire pour permettre aux entreprises américaines de détenir des renseignements personnels de citoyens européens puisque le cadre législatif applicable aux États-Unis n’offre pas « le niveau de protection adéquat » des renseignements personnels exigé par les autorités européennes.

Or, dans la foulée des révélations d’Edward Snowden relatives à la surveillance de masse exercée par les autorités américaines à partir des données informatiques de plusieurs grandes entreprises, Maximillian Schrems, un citoyen autrichien, a obtenu l’invalidation par la Cour de justice de l’Union européenne de l’accord Safe Harbor1. La Cour y concluait qu’« une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental à la vie privée ». Bien que cette décision était en principe d’application immédiate, le Groupe de travail sur la protection des données (surnommé le « G29 ») — un organe consultatif européen indépendant sur la protection des données et de la vie privée — a sommé les institutions européennes et le gouvernement américain d’agir avant le 31 janvier 2016 pour mettre en place une solution de remplacement.

C’est dans ce contexte que le 2 février 2016, la Commission européenne a fait l’annonce très attendue d’un nouvel accord de principe avec les États-Unis, baptisé « Privacy Shield ». Les détails de cet accord n’ont pas encore été dévoilés, mais nous savons d’ores et déjà que le nouveau dispositif imposera des obligations plus strictes et un contrôle plus rigoureux aux entreprises américaines qui traitent des renseignements à caractère personnel en provenance de l’Union européenne. Il est en outre à prévoir que l’accès à ces renseignements par les autorités américaines sera plus étroitement encadré et transparent.

Bien qu’en principe cette entente n’affecte pas directement les entreprises canadiennes qui recueillent, utilisent ou communiquent des renseignements personnels de citoyens européens, les entreprises d’ici qui détiennent une filiale américaine ou ont une place d’affaires aux États-Unis et recueillent des renseignements personnels en provenance d’Europe, de même que les entreprises qui confient à un tiers situé aux États-Unis des tâches qui nécessitent la transmission de renseignements personnels sur les ressortissants européens, par exemple à des fins d’hébergement, seraient bien avisées de s’assurer de respecter les conditions de cette nouvelle entente lorsqu’elle entrera en vigueur. Plus de nouvelles à suivre.