6 min

[Forum InCyber Montréal 2023] Penser en grand : sommes-nous en route vers un cadre réglementaire mondial sur la protection des données ?

L’imposition d’une réglementation globale contraignante est peu réaliste car elle impliquerait une perte d’autonomie juridique pour les États. Cependant, la diffusion d’influences positives à partir du RGPD, qui a déjà inspiré des lois similaires dans d’autres pays, constitue déjà une voie vers l’harmonisation des réglementations mondiales sur la protection des données.

Une convergence mondiale en matière de protection des données est-elle possible paraît difficile s’il s’agit de fixer un cadre réglementaire mondial qui offrirait une approche globale et unitaire de la protection des données. Concernant la fragmentation actuelle des lois, l’argument souvent cité réside dans le fait qu’il soit complexe, pour les entreprises, de prendre en compte l’ensemble de règles et de réglementations. Ce n’est pas faux mais cela passe à côté de l’essentiel.

Avançons-nous vers des réglementations mondiales sur les données sensibles ? C’est la mauvaise question à poser. La vraie question est de savoir si nous avons atteint certaines convergences en matière de protection des données, compte tenu des lois individuelles que nous avons vues entrer en vigueur au cours des cinq dernières années, notamment le RGPD.

Et la réponse est oui, il y a eu une convergence, en particulier concernant le RGPD. Le marché européen est suffisamment grand pour enjoindre les forces du marché à adapter leurs stratégies. Pour ceux qui souhaitent des ensembles plus complets de règles, le meilleur résultat potentiel pourrait être une série de recommandations non contraignantes et de meilleures pratiques présentées par une organisation internationale telle que les Nations unies.

Les États ne sont pas des entreprises privées

Le principal problème avec les propositions de réglementations de ce genre, qui englobent tout et traversent les frontières, est une méconnaissance des intérêts des États et de l’importance qu’ils accordent à la prise de décision autonome. Non seulement cela, mais l’application de réglementations par une entité supranationale est extrêmement difficile et ne fonctionne que lorsque les intérêts convergent ou quand les États acceptent délibérément de renoncer à leurs pouvoirs judiciaires.

Il y a d’importants obstacles à une proposition de ce genre. La souveraineté de l’État et les questions de sécurité nationale viennent à l’esprit. Les réglementations internationales contraignent les États à se conformer à des législations sur lesquelles ils n’ont pas un contrôle total, et qui peuvent mettre à mal ce qu’ils perçoivent comme l’intérêt national. Les États-Unis, par exemple, ne ratifient presque pas de traité sur les droits humains et les questions environnementales justement dues à ce type de considération.

Les gouvernements revendiquent souvent leur droit d’accéder aux informations personnelles à des fins de sécurité nationale, de souveraineté et de maintien de l’ordre public. L’extraterritorialité de la cybercriminalité rend déjà les arrestations difficiles et a conduit à une coopération internationale. Le FBI et la GRC au Canada ont souvent collaboré par le passé pour enquêter sur des crimes. Et le FBI dispose d’une liaison à Ottawa pour une collaboration plus étroite.

Dans cet exemple, les poursuites se font selon la juridiction où le crime a été commis. Une loi extraterritoriale sur la protection des données devrait répondre aux questions d’application, de délégation d’autorité et de juridiction. Il y a une incertitude à savoir si cela est réalisable, mais surtout si les acteurs qui traitent de sécurité nationale voudraient un tel système.

La gouvernance mondiale est complexe et différents États ont des intérêts, des valeurs et des interprétations différentes. L’anonymat des données à des fins de protection en est un bon exemple. Il y a actuellement un litige entre le Danemark et l’Union européenne sur la manière dont le matériel biologique est considéré comme des données personnelles.

Le consensus général au sein de l’UE est que si les protocoles académiques en place sont respectés, les données sont anonymisées et donc non personnelles. Le Danemark soutient cependant que si l’on peut relier le matériel à l’individu avec un certain effort, il n’est pas anonymisé et donc en violation des lois sur la protection des données en vertu du RGPD.

Il est clair que l’état des lois sur la protection des données est une lourde contrainte pour les entreprises privées, la recherche et l’innovation. Sans une loi de protection des données globale, les États ont conçu leurs propres lois, dont le RGPD fait partie intégrante.

L’effet dissuasif du RGPD

Bien qu’il n’y ait pas de réglementation mondiale sur la protection des données, il semble y avoir un effet de diffusion provenant du RGPD. La réglementation européenne a exercé une influence majeure dans le monde entier. Elle a en effet établi des normes pour l’acquisition, la gestion et le traitement des données sensibles des citoyens européens en exigeant, par exemple, un consentement explicite pour la collecte de données.

Un exemple? Le RGPD et la directive vie privée et communications électroniques européenne sont responsables de l’adoption généralisée, au moins en Amérique du Nord et en Europe, des requêtes demandant aux individus d’accepter ou non les cookies quand ils naviguent sur internet. Il s’agit là d’un exemple concret de diffusion de norme d’utilisation.

Le RGPD a également inspiré des lois similaires dans des pays en dehors de l’Union européenne. La Loi 25 au Québec, par exemple, en est très proche en termes d’application. Les experts en cybersécurité de la province reconnaissent en effet l’influence de la législation européenne ici.

Il existe de nombreux autres exemples de législations similaires. Le projet de loi C-27 en est à sa deuxième lecture au Parlement. La Loi sur la protection des renseignements personnels et les documents électroniques intègre les principes généraux du RGPD, montrant ainsi un effet de diffusion. L’Inde et le Royaume-Uni sont d’autres exemples de pays ayant des politiques de protection des données reposant sur les principes fondamentaux de la législation de l’UE.

Cette adoption se reflète également dans les pratiques commerciales. L’Union européenne est un marché important, et nous pouvons voir que le RGPD a modifié le paysage. Les multinationales et les PME qui veulent opérer en Europe ont toutes modifié leurs pratiques de protection des données pour se conformer à la loi, sinon elles risqueraient de subir d’importantes sanctions. Ce qui a entraîné une amélioration des pratiques de traitement des données.

Perspectives

La réglementation mondiale, comme mentionnée, est presque impossible en raison de nombreuses questions, notamment la souveraineté, la sécurité nationale et la complexité de la gouvernance internationale. Cependant, nous constatons déjà un certain nombre de diffusions de politiques et de marchés provenant du RGPD.

Et cela pourrait bien être le modèle pour l’avenir. Les pays souhaiteront conserver leur compétence en matière de protection des données. L’Union européenne est un cas à part, et la renonciation de certains pouvoirs judiciaires ne fonctionnera pas à l’échelle mondiale. Qui serait chargé de faire respecter les réglementations mondiales ? Placer le pouvoir d’arbitrage contraignant entre les mains d’une institution internationale sera difficile.

Mais le RGPD a établi des principes de base (nous pourrions les appeler des normes) qui ont été adoptés dans d’autres pays et dans leur propre législation. La taille du marché européen a également entraîné une restructuration des entreprises souhaitant faire des affaires sur le Vieux-Continent.

Partager cet article avec un ami