Des régimes de confidentialité stricts, des demandes d’utilisation de centres de données locaux et des interdictions absolues de transférer des données à l’étranger sont quelques exemples de politiques imposées récemment qui empêchent les données de traverser les frontières nationales ou régionales. Ce document est le premier à proposer une taxonomie complète de ces restrictions, qui a une incidence sur le droit commercial international.
Les restrictions sur les flux de données transfrontières peuvent affecter les engagements juridiques des pays au titre de divers accords commerciaux, notamment l’Accord général sur le commerce des services (AGCS). Cette taxonomie peut être à la base de nouvelles recherches juridiques et économiques pour évaluer la légitimité et la nécessité de celles-ci en vertu du droit commercial international.
Les restrictions sur les flux de données transfrontaliers ne sont pas nouvelles, mais elles se sont multipliées au cours de la dernière décennie (figure 1). Des régimes de confidentialité stricts, des demandes d’utilisation de centres de données locaux et des interdictions absolues de transférer des données à l’étranger sont quelques exemples de politiques imposées récemment qui empêchent les données de traverser les frontières nationales ou régionales.
La révolution des données est à la fois la raison de cette tendance et la victime indésirable de ces politiques. La dépendance croissante à l’égard des données dans nos économies a suscité des inquiétudes parmi les décideurs qui ont ressenti le besoin de réagir rapidement à cette évolution avec une nouvelle législation. Cependant, la nouveauté de la révolution des données et la difficulté des décideurs à saisir son impact transformationnel sur l’économie ont conduit à des réponses qui imposent des coûts importants à l’économie (ECIPE, 2014; ECIPE, 2016) et aux entreprises étrangères (USITC, 2014).
L’objectif de cet article est de proposer une taxonomie de base des restrictions aux flux de données transfrontaliers, qui a une incidence sur de nombreux domaines du droit, y compris le commerce international et la protection des informations personnelles. Â Â Â Â Â Â Â Â Â Â Â Â
D’un point de vue commercial, les restrictions sur les flux de données peuvent être définies comme toutes les mesures qui augmentent le coût de la conduite des affaires au-delà des frontières en obligeant les entreprises à conserver les données à l’intérieur d’une certaine frontière ou en imposant des exigences supplémentaires pour les données à transférer à l’étranger. Ces mesures sont très différentes dans leur conception et leur mise en œuvre.
Malgré leur hétérogénéité, les restrictions sur le flux de données partagent un trait commun: les entités privées sont de facto obligées de conserver leurs données localement ou supportent des coûts plus élevés pour l’envoi ou le traitement de leurs données à l’étranger. Ces exigences peuvent être imposées par les gouvernements locaux, centraux ou régionaux, ou dans certains cas par une seule entité publique, comme les hôpitaux. 1
Les restrictions sur les flux de données transfrontaliers peuvent être classées comme «œstrict» lorsqu’elles nécessitent spécifiquement un stockage local des données ou comme «œconditionnelles» lorsqu’elles imposent certaines conditions pour le transfert transfrontalier de données. Les deux cas augmentent le coût des transferts de données et peuvent donc entraîner la localisation des données.
S’il est relativement simple de conclure que des mesures plus restrictives sur les données impliquent des coûts plus élevés pour les entreprises, il n’est pas facile d’évaluer si un régime conditionnel sur les flux de données peut être plus ou moins coûteux que d’autres régimes. Cela ne peut être évalué qu’en examinant les spécificités du régime. En tout état de cause, le caractère restrictif de toute mesure sur le commerce dépend du type de données concernées ainsi que des secteurs couverts par la mesure. 3
Lorsqu’une exigence de stockage local s’applique, les données ne peuvent pas être transférées à travers les frontières sauf si une copie est stockée à l’intérieur des frontières du pays (ou de la juridiction qui a imposé l’exigence). Dans de tels cas, tant qu’une copie des données est enregistrée au niveau national, les activités de stockage et de traitement des données peuvent également avoir lieu à l’extérieur du pays et une entreprise peut fonctionner comme d’habitude.
Dans la plupart des cas, cette exigence s’applique à des données spécifiques telles que les documents fiscaux et comptables, les documents sociaux ou d’entreprise et, dans de rares cas, les archives publiques. Par exemple, la loi suédoise sur la tenue de livres impose que des documents tels que les rapports annuels (financiers) et les bilans d’une entreprise soient physiquement stockés en Suède pendant une période de sept ans. 4
Outre les exigences de stockage local, la localisation pourrait également s’étendre au traitement des données. Cela signifie que l’entreprise doit utiliser des centres de données situés dans le pays pour le traitement principal des données. L’entreprise doit donc soit construire un centre de données, soit passer à des fournisseurs locaux de solutions informatiques. Alternativement, l’entreprise pourrait décider de quitter complètement le marché. Si ce régime s’applique, l’entreprise peut toujours envoyer les données à l’étranger, par exemple à la société mère, après le traitement principal.
De telles exigences ont récemment été introduites en Russie, avec la modification de la loi russe sur la protection des données par la loi fédérale n ° 242-FZ en juillet 2014. 5 L’article 18 §5 oblige les opérateurs de données à garantir que l’enregistrement, la systématisation, l’accumulation, le stockage, la mise à jour / modification et la récupération des données personnelles des citoyens de la Fédération de Russie sont effectués à l’aide de bases de données situées dans la Fédération de Russie.
Le troisième et le plus strict type de restriction aux flux de données transfrontaliers consiste en une interdiction de transférer les données à travers les frontières. Par conséquent, les données doivent être stockées, traitées et accessibles sur le territoire du pays de mise en œuvre. Une telle politique s’applique généralement à des ensembles spécifiques de données considérées comme particulièrement sensibles, telles que les données sanitaires ou financières.
La différence entre une interdiction de transfert de données et une exigence de traitement local pourrait être assez subtile. On pourrait faire valoir que les exigences de stockage et de traitement prises ensemble constituent de facto une interdiction des transferts. Cependant, dans le cas d’une interdiction de transfert, l’entreprise n’est même pas autorisée à envoyer une copie de ses données à l’étranger, ce qui peut être important pour une communication sans décalage entre filiales, ou pour la sécurité des données. Dans les deux cas, cependant, les principales activités de traitement des données doivent être effectuées dans le pays.
À ce jour, aucun pays n’interdit dans l’ensemble de l’économie le transfert de toutes les données à l’étranger, quelle que soit la nature des données. Cependant, certaines juridictions imposent des interdictions sur le transfert d’ensembles de données spécifiques. Par exemple, l’Australie exige qu’aucune information de santé électronique personnelle ne soit détenue ou traitée en dehors des frontières nationales. 6 Un autre exemple est celui de deux provinces du Canada (la Colombie-Britannique 7 et la Nouvelle-Écosse 8) qui ont promulgué des lois exigeant que les renseignements personnels détenus par les institutions publiques (comme les écoles, les universités, les hôpitaux ou d’autres services publics et organismes publics) restent au Canada. – avec seulement quelques exceptions limitées.