nLPD : Article 4
Conformité des transferts de données à l’étranger au regard de la nouvelle Loi sur la Protection des Données (nLPD) en Suisse : guide détaillé
La globalisation croissante de l’économie et la dématérialisation des données ont rendu courante la pratique du transfert de données personnelles à l’étranger. Cette pratique, bien qu’essentielle dans un monde complétement connecté, doit néanmoins être accompagnée d’un certain nombre de précautions afin d’assurer la protection des données personnelles transférées.
Voyageons ensemble à travers cet article dédié à la conformité des transferts de données personnelles vers l’étranger au regard de la nLPD qui vous servira de boussole pour préserver la confidentialité et les droits des individus.
Petite histoire – Safe Harbor, Privacy Shield et Data Privacy Framework
La question du transfert de données à l’étranger a toujours été un sujet complexe et critique. Dans cette petite histoire, je fais un bref rappel sur les relations entre la Suisse, plus généralement, l’Union Européenne et les États-Unis sur le sujet. Plusieurs accords ont été mis en place, mais ils ont dû faire face à des défis juridiques significatifs.
Le Safe Harbor et le Privacy Shield étaient deux accords essentiels qui régissaient le transfert de données personnelles entre l’Europe (y compris la Suisse) et les États-Unis, avant leur invalidation respective en 2015[1] et 2020[2] par la Cour de Justice de l’Union Européenne (CJUE).
La Suisse, bien que n’étant pas membre de l’UE, avait des accords similaires avec les États-Unis et a suivi la même voie, déclarant que ni le Safe Harbor suisse ni le Swiss-U.S. Privacy Shield ne fournissaient une protection adéquate des données. Dans sa prise de position du 8 septembre 2020, le Préposé Fédéral a conclu dans la foulée que le bouclier ne satisfaisait pas aux exigences d’un niveau de protection adéquat, sans pour autant exclure l’adhésion au régime du Privacy Shield qui offre des droits particuliers. Mais les Etats-Unis ne figurent pas dans la liste du Conseil Fédéral des pays offrant une protection adéquate à partir du 1er septembre 2023.
Pour résoudre l’incertitude créée par l’invalidation du Privacy Shield, l’UE et les États-Unis ont commencé à travailler sur un nouvel accord, appelé le “EU-U.S. Data Privacy Framework”. Ce cadre, annoncé pour décembre 2023, est censé répondre aux préoccupations soulevées par la CJUE dans sa décision Schrems II en instaurant des garanties et des limitations plus strictes sur l’accès aux données par les autorités publiques américaines, en particulier pour les besoins de l’application du droit pénal et de la sécurité nationale. Mais à ce jour, les récents développements de l’IA générative et la prédominance américaine en matière de service hébergés ne plaident pas en faveur d’un compromis européen dans ce différend aux lourdes conséquences économiques (par exemple, les amendes infligées aux contrevenants au RGPD).
Que dit la loi ?
Selon l’article 16 de la nLPD :
1. « Les données personnelles peuvent être communiqués à l’étranger si le Conseil fédéral a constaté que l’État concerné dispose d’une législation assurant un niveau de protection adéquat ou qu’un organisme international garantit un niveau de protection adéquat. ».
Cependant, l’évaluation de la « protection adéquate des données » d’une entité – qu’il s’agisse d’un État, d’un territoire, d’un secteur spécifique d’un État, ou d’un organisme international – est un processus complexe. Les entités dont le niveau de protection est considéré comme adéquat sont énumérées dans l’annexe 1 de l’ordonnance sur la protection des données que vous pouvez consulter ici.
En effet, la détermination du caractère adéquat de la protection assurée par une entité se fait selon plusieurs critères. Ceux-ci comprennent :
· Les engagements internationaux de l’entité, en particulier en ce qui concerne la protection des données.
· Le respect de l’état de droit et des droits de l’Homme.
· La législation en vigueur, notamment celle relative à la protection des données, ainsi que son application et la jurisprudence correspondante.
· L’efficacité des garanties offertes aux droits des individus et des recours juridiques disponibles.
· Le fonctionnement d’une ou plusieurs autorités indépendantes de protection des données, possédant des pouvoirs et des compétences suffisants.
Lors de chaque évaluation, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) est consulté, et les évaluations réalisées par d’autres organismes internationaux ou autorités étrangères peuvent être considérées. Ces évaluations sont révisées périodiquement, et leurs résultats sont rendus publics.
Si une évaluation révèle une insuffisance dans la protection des données, la liste d’adéquation est mise à jour en conséquence. Cela n’a toutefois aucun impact sur les transferts de données déjà réalisés.
2. “En l’absence d’une décision du Conseil fédéral, des données personnelles peuvent être communiquées à l’étranger si un niveau de protection approprié est garanti ».
D’accord. Mais comment s’assure-t-on qu’un niveau de protection est garanti ? Cela passe par plusieurs étapes :
Le registre des activités de traitement
Il s’agit d’avoir un enregistrement détaillé et une clarté sur les processus de traitement grâce aux réponses aux questions ci-dessous :
· Les données à exporter ont-elles un caractère personnel ?
· Des personnes seront-elles identifiées ou identifiables ?
· Quelle est la finalité du transfert de données ?
· Quelles sont les catégories de données personnelles qui seront transférées ?
· Quelles sont les mesures de sécurité mises en place ?
· Y a-t-il d’autres sous-traitants ou sous-sous-traitants ? Dans l’affirmative se trouvent-ils dans des pays tiers ?
· Les données personnelles sont-elles transférées à l’intérieur du pays tiers ou vers un autre pays ?
· Les données personnelles sont-elles traitées par des entreprises soumises à des ordres juridiques de pays tiers ?
Les garanties dans l’état tiers
Des garanties spécifiques doivent être élaborées par l’organe fédéral et préalablement communiquées au PFPDT ; elles sont généralement sous formes de clauses contractuelles types et déclinées en principe de :
· Légalité : Les autorités du pays destinataire doivent avoir une base légale claire et précise pour accéder aux données, définissant les objectifs, les procédures d’accès, les conditions juridiques et les prérogatives des autorités.
· Proportionnalité : Les prérogatives et mesures prises par les autorités doivent être appropriées et nécessaires pour atteindre les objectifs légaux d’accès aux données. Elles doivent également être raisonnables et justifiables.
· Voies de recours juridiques : Les personnes concernées doivent disposer de moyens légaux et effectifs pour exercer leurs droits en matière de protection de la vie privée, tels que l’accès, la rectification, l’effacement et l’opposition, conformément à la législation suisse.
· Accès à un juge et à un tribunal indépendant et impartial : Les violations de la vie privée doivent être soumises à un système de contrôle qui garantit l’accès à un juge ou à un tribunal indépendant et impartial, assurant ainsi une protection adéquate des droits des personnes concernées.
Cependant, selon la Résolution du Parlement Européen du 5 mai 2023 sur l’adéquation UE-US, les garanties susmentionnés ne sont pas assurées.
Si les garanties ne sont pas assurées, il convient donc d’utiliser des mesures supplémentaires qui sont d’ordre :
· Techniques : chiffrement, pseudonymisation
· Organisationnelles : gouvernance des transferts, documentation des requêtes d’accès, principe en matière de minimisation de données
· Contractuelles : obligation d’information sur le cadre applicable, Droit d’audit étendu, Obligation de protéger les données
Si le niveau de protection des données n’est toujours pas adéquat, au sens de l’article 16, il convient de faire une analyse de risques.
Nos Advisors, dotés des compétences sanctionnées par des certifications en tant que délégués à la protection des données (DPO) et en sécurité cloud (CSSK), sont disponibles pour vous aider, non seulement dans l’accomplissement de cette analyse de risque, mais aussi dans votre démarche de mise en conformité et dans le processus de sensibilisation de vos employés.
[1] sous la directive 95/46/CE
[2] sous le règlement général sur la protection des données ou RGPD