17.07.2020

Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a statué que le Privacy Shield UE-États-Unis (permettant le transfert de données personnelles vers les États-Unis) était invalide. Bien que la Suisse dispose de son propre cadre Privacy Shield avec les États-Unis, l'arrêt de la CJUE pourrait avoir un impact sur les entreprises Suisses. Toutefois, il n'y a généralement aucune raison de paniquer. Les entreprises Suisses devraient néanmoins envisager certaines mesures de précaution.
 

Transferts de données vers les États-Unis dans le cadre du Privacy Shield

Les entreprises de l'Union européenne (UE) et de l'Espace économique européen (EEE) sont généralement limitées, en vertu du règlement général sur la protection des données de l'UE (RGPD), au transfert de données personnelles de personnes physiques (par exemple les données relatives aux clients ou aux employés) vers des pays hors de l'UE/EEE, sauf si des garanties spécifiques sont en place. En particulier, les transferts de données personnelles vers les États-Unis ont été autorisés jusqu'à présent si l'entreprise Américaine qui importe est certifiée selon le cadre Privacy Shield UE-États-Unis, basé sur une décision prise par la Commission européenne en juillet 2016.

Un mécanisme presque identique existe pour les entreprises Suisses : Alors que la loi Suisse sur la protection des données (LPD) limite généralement les transferts de données personnelles à certaines juridictions étrangères, y compris les États-Unis, les transferts de données à des entreprises basées aux États-Unis et certifiées dans le cadre du Privacy Shield Suisse-États-Unis sont autorisés depuis avril 2017. Selon le Préposé fédéral à la protection des données et à la transparence (PFPDT), plus de 3'300 entreprises Américaines ont été autorisées à ce jour en vertu de ce cadre, y compris des sociétés telles que Facebook, Amazon et Google.
 

Arrêt de la CJUE concernant le Privacy Shield entre l'UE et les États-Unis

Le 16 juillet 2020, la CJUE a statué que la décision de la Commission européenne concernant le Privacy Shield UE-États-Unis était invalide (arrêt "Schrems II"). L'arrêt a été rendu dans le cadre d'un procès lancé par Maximillian Schrems contre Facebook Ireland et base, entre autres, sur l'argument selon lequel le cadre ne protégerait pas suffisamment les données des personnes de l'UE contre l'accès des autorités américaines.

Il n'est pas certain qu'à la suite de l'arrêt Schrems II, le Privacy Shield UE-États-Unis sera remplacé par un autre mécanisme dans un avenir proche, étant donné que le précédent accord Safe Harbor avait déjà été invalidé par la CJUE en 2015 (arrêt "Schrems I").

Par conséquent, les entreprises basées dans l'UE devront probablement se fier à d'autres garanties pour les transferts de données en cours et futurs vers les États-Unis, comme les contrats standards de l'UE (dont la validité a été confirmée de manière générale par l'arrêt Schrems II).
 

Impact sur les entreprises Suisses

La Suisse n'est pas directement touchée par l'arrêt Schrems II, étant donné qu'elle n'est pas partie au Privacy Shield UE-États-Unis et que la décision de la CJUE annulant le Privacy Shield UE-États-Unis n'invalide pas le Privacy Shield Suisse-États-Unis. Jusqu'à présent, le PFPDT a publié une brève déclaration selon laquelle l'arrêt Schrems II n'est pas directement applicable à la Suisse. La compétence de terminer formellement le Privacy Shield Suisse-États-Unis appartient au Conseil fédéral Suisse.

Toutefois, sur la base des activités antérieures du PFPDT conduites dans le cadre de l'arrêt Schrems I, il ne peut être exclu que le PFPDT puisse maintenant conclure que – compte tenu de l'arrêt Schrems II – le Privacy Shield Suisse-États-Unis n'offre pas un niveau de protection adéquat pour les transferts de données de la Suisse vers les États-Unis. Cela dit, une telle conclusion du PFPDT ne serait pas juridiquement contraignante puisque l'adéquation des législations étrangères en matière de protection des données sera finalement décidée par les tribunaux suisses plutôt que par le PFPDT.

Dans cette optique, les entreprises Suisses ayant transféré ou prévoyant de transférer des données personnelles aux États-Unis dans le cadre du Privacy Shield doivent tenir compte des éléments suivants :

• Dans la mesure où les entreprises Suisses se sont jusqu'à présent appuyées sur le Privacy Shield Suisse-États-Unis pour les transferts de données personnelles vers des entreprises américaines, il n'est pas nécessaire dans l'immédiat de passer à des solutions de remplacement pour les transferts en cours.
• Pour les transferts de données à venir, il est toutefois conseillé d'envisager des garanties alternatives, telles que des clauses contractuelles reconnues par le PFPDT ou l'obtention du consentement des personnes concernées, en vue d'une éventuelle décision négative du Conseil fédéral à l'avenir.
• Il convient de suivre de près l'évolution de cette future décision du Conseil fédéral.
• Les entreprises Suisses qui relèvent du champ d'application territorial de la RGPD – par exemple parce qu'elles offrent des biens ou des services aux personnes résidentes dans l'UE ou qu'elles traitent des données personnelles pour le compte de responsables de traitement basés dans l'UE – devraient chercher d'autres mécanismes (tels que les contrats standards de l'UE, adaptés aux exigences Suisses) si des données personnelles de personnes basées dans l'UE sont transférées à des entreprises aux États-Unis sur la base du Privacy Shield UE-États-Unis, désormais invalidé.