Regulatory & Compliance

Conditions-cadres pour la communication des données à l'étranger

insight featured image
La loi suisse révisée sur la protection des données (LPD) est en vigueur depuis le 1er septembre 2023. Depuis, de nombreux prestataires de services financiers ont mis en œuvre les nouvelles dispositions. Des incertitudes subsistent parfois quant à la transmission de données personnelles à l'étranger. De nombreuses entreprises, en particulier, dépendent de solutions logicielles étrangères (notamment américaines). Nous profitons de cet article pour vous informer de la nouvelle réglementation concernant l'échange de données entre la Suisse et les Etats-Unis ainsi que sur ses conséquences. Nous avons également résumé pour vous les conditions de transfert de données personnelles vers l'UE et d'autres pays tiers.
Contenu

Classement1

Tabelle eu klein

 

Principe

Les données personnelles des personnes physiques ne peuvent en principe être transmises, sans mesures supplémentaires, à un destinataire à l'étranger que si un niveau de protection des données adéquat est garanti au sein du pays destinataire. Le Conseil fédéral définit dans l'annexe 1 de l'ordonnance relative à la loi sur la protection des données, les Etats et territoires remplissant cette condition. Sont par exemple concernés l'Allemagne, l'Argentine et le Royaume-Uni.

 

Union Européenne (UE)

Le Conseil fédéral considère que la loi suisse sur la protection des données est compatible avec le Règlement Général sur la Protection des Données (RGPD) de l'UE. En conséquence, les États membres de l'UE figurent sur la liste des pays reconnus à l'annexe 1 de l'ordonnance sur la protection des données et, l'exportation de données vers ces pays est en principe possible sans autres mesures de protection.

 

États-Unis

Le 14 août 2024, le Conseil fédéral a conclu que des données personnelles pouvaient être transmises sans garanties supplémentaires de la Suisse à des entreprises certifiées aux États-Unis dans le cadre du Swiss-U.S. Data Privacy Framework.

Cela crée pour les entreprises et les particuliers en Suisse des conditions-cadres similaires à celles de l’EU-U.S.Data Privacy Framework mis en place par l’UE et les Etats-Unis en juillet 2023.

La certification Swiss-U.S. Data Privacy permet d’assurer le respect des mesures et garanties prescrites en matière de protection des données, les entreprises s’engageant à respecter un ensemble de principes de protection de la vie privée. Diverses entreprises américaines, telles que Microsoft et Google, sont déjà certifiées selon ce cadre. Une liste des entreprises affiliées est disponible sous le lien « Data Privacy Framework ».

La certification Swiss-U.S. Data Privacy Framework permet donc de transférer des données vers les États-Unis sans clauses contractuelles standard ni évaluations d'impact supplémentaires sur les transferts. Néanmoins, rien ne s'oppose à ce que le transfert de données soit également sécurisé par des clauses contractuelles standard. Dans tous les cas, nous recommandons de faire garantir contractuellement la certification ainsi que son maintien par le destinataire des données.

 

Mécanismes de protection alternatifs 

S'il n'existe pas de décision d'adéquation pour un pays ou si une entreprise n'est pas certifiée dans le cadre du Swiss-U.S. Privacy Framework, un transfert peut néanmoins être autorisé si un niveau de protection des données approprié est garanti. Cela se fait souvent par le biais de clauses contractuelles type ou de clauses spécifiques3 de protection des données4.

Le transfert prévu doit être enregistré de manière détaillée afin de fournir une base pertinente pour son évaluation.

Garanties cumulatives

Afin de protéger les personnes concernées, il faut s'assurer, en cas de transfert de données vers un pays sans décision d'adéquation du Conseil fédéral, que les garanties suisses en matière de droits fondamentaux, énumérées ci-dessous, existent dans le pays destinataire :

  • Principe de licéité : il doit exister des bases juridiques claires, précises et accessibles qui régissent les pouvoirs des autorités, l'accès aux données et garantissent la licéité de leur traitement.
  • Principe de proportionnalité : les mesures prises par les autorités doivent être appropriées, nécessaires et raisonnablement exigibles de la part des personnes concernées afin de respecter les objectifs légaux.
  • Principe de recours : les personnes concernées doivent disposer de la garantie effective de voies de recours légales pour faire valoir leurs droits.
  • Protection contre l'arbitraire : les atteintes à la vie privée et à l'autodétermination en matière d'information doivent être soumises à une autorité indépendante et impartiale efficace.

Le responsable du traitement des données ne doit pas se fier uniquement aux déclarations du destinataire pour vérifier ces garanties.

Indépendamment de la question de savoir si les quatre garanties peuvent être respectées, le responsable du traitement doit procéder à une analyse d’impact détaillée, adaptée à chaque cas particulier avant de transférer des données à l'étranger. Pour cela, il est recommandé de procéder à un examen approfondi des lois en vigueur dans le pays destinataire, de leur mise en œuvre et de leur application. En cas de manque de connaissances, il est possible de demander des avis juridiques indépendants pour évaluer la situation juridique. L'analyse doit se fonder sur des données objectives. Les facteurs subjectifs, comme la probabilité d'un accès illicite aux données, ne devraient théoriquement pas être pris en compte.

Mesures supplémentaires éventuelles

Si les quatre garanties susmentionnées ne sont pas assurées dans le pays destinataire, des mesures supplémentaires doivent être mises en place pour empêcher les autorités d’accéder aux données personnelles. Un exemple de ces mesures est le cryptage efficace des données. Les dispositions contractuelles seules sont insuffisantes, car elles ne sont pas contraignantes pour les autorités des pays tiers. Après la mise en œuvre des mesures supplémentaires, l'exportateur de données doit régulièrement vérifier la garantie effective des conditions juridiques applicables.

Mise en œuvre

Si un niveau de protection des données adéquat est atteint sans mesures supplémentaires, le transfert de données peut avoir lieu après la conclusion d'un contrat et l'analyse préalable. Si des mesures supplémentaires sont nécessaires et mises en œuvre avec succès, le transfert de données peut avoir lieu après la conclusion du contrat, l'analyse préalable et la mise en œuvre des mesures supplémentaires.

 

Conclusion et perspectives

Bien que le nouveau cadre de protection des données avec le Swiss-U.S. Data Privacy Framework apporte un allègement, les exigences pour un transfert de données à l'étranger restent élevées. Les entreprises doivent s'assurer qu'elles respectent le cadre juridique, notamment lors de transferts de données personnelles vers des pays ne disposant pas d'un niveau de protection adéquat. Les garanties contractuelles et les mesures de protection supplémentaires sont cruciales pour assurer la protection des données. Des vérifications régulières et, si nécessaire, des adaptations des mesures prises sont indispensables pour garantir la conformité à long terme et limiter les risques juridiques.

 

Vous avez des questions sur la loi sur la protection des données et/ou sur la communication de données à l'étranger ? Nos spécialistes de l'équipe Regulatory & Compliance FS se feront un plaisir de vous aider. N'hésitez pas à nous contacter.


 

[1] Il s'agit d'une présentation très simplifiée qui doit permettre une première classification rapide de la thématique. Chaque établissement devrait déterminer individuellement la pertinence et le besoin concret d'agir.
[2] Sauf exception légale.
[3] Les partenaires contractuels peuvent convenir de clauses de protection des données séparées dans un contrat spécifique. Ces clauses doivent être communiquées au Préposé fédéral à la protection des données et à la transparence (PFPDT) avant chaque transfert à l'étranger.
[4] Les clauses standard de protection des données peuvent être élaborées par des organismes privés, publics ou par le PFPDT. Elles peuvent être utilisées librement et sans notification après avoir été approuvées par le PFPDT.