Canada, cannabis et le problème des flux transfrontaliers de données personnelles dans un monde interconnecté

Récemment le Canada est devenu le deuxième pays au monde, et  le premier pays du G7, à rendre le cannabis légal au niveau national. Depuis le 17 octobre 2018, un adulte au Canada peut, avec certaines limitations, acheter et consommer du cannabis et, sauf dans deux provinces, cultiver des quantités limitées à domicile pour sa consommation personnelle.

 
La légalisation représente non seulement un changement majeur de la politique du droit pénal au Canada, mais elle a aussi des implications importantes pour la vie privée des individus. D’un côté, le gouvernement du Canada a indiqué qu’il était prêt à suspendre les casiers judiciaires pour les individus qui ont été condamnés pour la possession simple de cannabis, et effacer ces condamnations des bases de données policières, de telle sorte qu’elles n’apparaitraient plus dans les vérifications des casiers judiciaires qui peuvent être demandés par les employeurs, les organismes de bénévolat, etc.

Mais la légalisation entraîne aussi potentiellement un accès plus large aux détails concernant les achats et la consommation du cannabis par les individus, par exemple, à travers les enregistrements de transactions (dans certaines provinces, le cannabis peut seulement être acheté en ligne). Tandis que les individus auraient hésité avant de s’associer publiquement avec le cannabis, ils seraient moins réticents à le faire dans un monde où il est légal (à travers les affichages sur les réseaux sociaux, les entrevues pour les articles de presse, les photos publiées en ligne, etc.) 

 
Quand vos données personnelles vous suivent à travers la frontière

Or, cet accès élargi pose des risques car si le cannabis est désormais légal au Canada, il ne l’est toujours pas dans la plupart des autres pays.. Les données de transactions qui révèlent les achats peuvent être stockées dans des serveurs situés en dehors du pays. Ce qui est publié sur les réseaux sociaux ou dans les articles de presse en ligne peut être accessible, à travers l’internet, à quiconque autour du monde. Or le fait que ces renseignements soient accessibles à l’étranger peut avoir des conséquences sévères pour les individus. 

 
Par exemple, bien que le cannabis soit légal dans plusieurs états des Etats-Unis, il est toujours interdit en vertu des lois fédérales, qui s’appliquent à la frontière. Sur son site web, le gouvernement du Canada avertit : «L'utilisation antérieure de cannabis, ou de toute substance interdite par les lois fédérales américaines, pourrait signifier que l'entrée aux États-Unis vous est refusée. » D’après le New York Times, le fait d’avoir avoué publiquement la consommation d’une substance illégale peut être utilisé par les agents des services frontaliers pour refuser l’entrée aux Etats-Unis. Il n’est donc pas impossible qu’un canadien qui fête la légalisation avec un tweet ou un message publié sur Facebook, ou qui donne une entrevue pour un article de presse publié en ligne, puisse se voir refuser l’entrée aux Etats-Unis, potentiellement à vie.
 

Cet exemple démontre le conflit que peut susciter le flux des données personnelles à travers les frontières et entre des juridictions qui ont des normes différentes. Les conséquences pour les individus liées à l’accessibilité de leurs données personnelles dans une juridiction peuvent être complètement différentes quand ces mêmes données sont accessibles dans une autre juridiction.

 
Ceci n’est bien sûr pas un nouveau problème, ni un problème qui est unique au Canada. Les pays membres de l’UE ont essayé depuis plusieurs années de limiter les transferts de données personnelles aux pays hors l’UE sauf aux pays qui offrent une protection adéquate ou si des garanties appropriées sont mises en place. Ceci est une stratégie importante pour résoudre le problème mais ne peut pas éliminer entièrement les conflits qui peuvent surgir, notamment quand les données sont accessibles publiquement en ligne et sont donc disponibles dans d’autres juridictions.
 

Par exemple, la question de savoir si le droit au déréférencement devrait s’appliquer aux recherches effectuées en dehors du territoire de l’Europe – une question présentement devant la Cour de justice de l’Union européenne – met en relief le problème posé par les données personnelles qui sont publiées en ligne et sont immédiatement disponibles partout et pour tout le monde. Une question importante à laquelle la Cour va devoir répondre dans sa décision.
 

Est-ce qu’il existe d’autres solutions pour ce type de problèmes ? Des pays ont depuis plusieurs années tenté d’harmoniser leurs cadres juridiques pour la protection des données personnelles afin d’essayer de réduire les difficultés soulevées quand les données traversent facilement les frontières. A ce titre, le RGPD pourrait apporter des solutions. La création d’une organisation mondiale pour la protection des données personnelles et la vie privée pourrait-elle également apporter des solutions ? L’idée a été récemment discutée lors de la Conférence internationale des commissaires pour la protection des données personnelles et la vie privée à Bruxelles et va sans doute faire l’objet d’autres discussions. Ce qui est certain, c’est que les enjeux posés par le flux des données personnelles à travers les frontières ne vont pas diminuer et vont demander un travail acharné, de l’ingéniosité et, surtout, un esprit de coopération pour les résoudre.