Data Privacy Framework: Que faire pour les transferts de données personnelles aux Etats-Unis?
Aides de travail appropriées
Fin du Swiss-US Privacy Shield
À teneur d’un arrêt du 16 juillet 2020 dit «Schrems II», la Cour de justice de l’Union européenne (CJUE) a invalidé le EU-US Privacy Shield qui permettait un échange de données personnelles simplifié entre les pays de l’espace économique européen (EEE) d’une part et les entreprises y adhérant et situées aux Etats-Unis d’Amérique d’autre part. Cette décision s’expliquait principalement par la législation américaine en matière d’accès par les services de renseignements aux données personnelles traitées par les entreprises et les opérateurs américains. L’arrêt Schrems II a emporté consécutivement l’invalidation de l’équivalent de sa version suisse, le Swiss-US Privacy Shield qui permettait notamment aux entreprises suisses de transférer des données personnelles vers les entreprises américaines certifiées dans le cadre de ce programme.
Depuis cette date, les États-Unis étaient considérés par les législations suisse et européenne comme n’offrant pas un niveau de protection adéquat en matière de protection des données personnelles, une situation qui avait pour conséquence majeure qu’il convenait pour les responsables du traitement d’encadrer systématiquement les transferts de données personnelles à destination des États-Unis par des garanties appropriées, notamment par la prise de clauses contractuelles types (CCT), ou standard contractual clauses (SCC) reconnues par les autorités de contrôles compétentes en matière de protection des données personnelles ainsi que par des mesures supplémentaires.
Dans ce contexte, l’encadrement juridique des transferts de données personnelles vers les États-Unis est d’autant plus important qu’un faux pas en la matière peut avoir de lourdes conséquences, notamment pénales. En effet, aux termes de la loi fédérale sur la protection des données (LPD), la communication de données personnelles vers un pays ne disposant pas d’un niveau de protection adéquat, en l’absence de garanties suffisantes, est sanctionnée par une amende pénale de 250'000.– francs au plus (art. 61 let. a LPD).
Création du Data Privacy Framework
L’Union européenne et les Etats-Unis ont annoncé au mois de mars 2022 un accord de principe visant à remédier à cette situation et à réintroduire un programme permettant d’offrir un niveau de protection adéquat des données personnelles et ainsi à faciliter à nouveau les transferts de données entre les pays de l’EEE et les États-Unis. C’est dans ce contexte que, le 10 juillet 2023, la Commission européenne a adopté une décision formelle d’adéquation concernant un nouveau programme, le EU-US Data Privacy Framework. Aux termes de cette décision, la Commission européenne considère désormais que les entreprises certifiées dans le cadre du EU-US Data Privacy Framework offrent un niveau de protection adéquat.
Afin de répondre aux critiques faites sous l’égide de l’ancien Privacy Shield, le nouveau Data Privacy Framework intègre donc de nouvelles garanties pour les droits des personnes concernées en vue notamment de limiter l’accès des services de renseignements américains aux données personnelles européennes. En particulier, le Data Privacy Framework institue une Cour chargée du contrôle et de la protection des données.
Depuis cette date, il est donc possible pour les personnes soumises au Règlement général sur la protection des données européen (RGPD) de communiquer des données personnelles à destination des personnes étant certifiées dans le cadre du Data Privacy Framework. La liste des personnes certifiées dans ce cadre est disponible sur le site du programme. Attention toutefois, car il convient donc de bien s’assurer que l’entreprise est effectivement certifiée dans le cadre du Data Privacy Framework avant d’effectuer tout transfert à sa destination. À défaut, il conviendra soit de prendre des CCT ainsi que des mesures supplémentaires le cas échéant ; soit de prendre de faire reposer le transfert sur d’autres garanties.
Quid des transferts depuis la Suisse?
Bien que les autorités américaines aient déjà annoncé le Swiss-US Data Privacy Framework, et que les entreprises américaines peuvent d’ores et déjà être certifiées au Swiss-US Data Privacy Framework, les autorités suisses n’ont pas encore reconnues que celui-ci garantissait un niveau de protection adéquat conformément à l’art. 16 LPD. Cette tâche incombera au Conseil fédéral par le biais d’une modification de la liste des États dans lesquels un niveau de protection adéquat des données est garanti et figurant en annexe 1 de l’ordonnance sur la protection des données (OPDo).
En attendant que le Swiss-US Data Privacy Framework fasse l’objet d’une décision d’adéquation officielle, les entreprises suisses transférant des données personnelles aux États-Unis doivent toujours fonder leurs transferts sur des CCT reconnues cas échéant sur des mesures supplémentaires afin d’assurer un niveau de protection suffisant. Pour mémoire, ces CCT doivent également être adaptées au droit suisse selon les spécifications émises par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Le cadre réglementaire devrait encore ainsi prochainement être amené à évoluer et une décision d’adéquation des autorités suisses est attendue prochainement. Cela dit, il n’est pas non plus exclu que le Data Privacy Framework subisse à terme le même sort que son prédécesseur le Privacy Shield. L’organisation non gouvernementale None of Your Business (NOYB) fondée par Maximilien Schrems a en effet déjà annoncée qu’elle entendait contester la régularité du nouveau programme devant les autorités européennes.
En résumé
Pour le transfert de données personnelles depuis la Suisse vers les États-Unis, il importe donc, pour le moment de signer des CCT, dûment adaptées à la situation, et comprenant une Swiss Annex. Conformément aux directives du PFPDT, il convient en outre de soumettre son prestataire à un questionnaire en vue d’évaluer la licéité du transfert et de prendre si nécessaire des mesures supplémentaires afin d’octroyer un niveau de protection adapté.
À compter du jour où le Swiss-US Data Privacy Framework fera l’objet d’une décision d’adéquation par le Conseil fédéral, ces précautions n’auront plus à être prises mais uniquement s’agissant des entreprises américaines dûment certifiées par le programme.
En toute hypothèse, nous ne pouvons que recommander de suivre l’actualité sur cette situation qui sera amenée à évoluer dans les prochains mois.