Protection des données / Le Swiss-U.S. Data Privacy Framework : Décision d’adéquation, implications et prudence

Le Swiss-U.S. Data Privacy Framework marque une étape importante pour la protection des données personnelles entre la Suisse et les États-Unis. Selon le communiqué de presse du Conseil fédéral du 14 août 2024, ce nouveau cadre juridique permettra le transfert de données personnelles vers des entreprises certifiées aux États-Unis sans nécessiter de garanties supplémentaires, telles que la conclusion de clauses contractuelles types (SCC). L'Office fédéral de la justice a établi que les mesures de protection des données et les garanties offertes par les entreprises certifiées américaines sont adéquates, et le Conseil fédéral a ajouté les États-Unis à la liste des États garantissant un niveau de protection des données adéquat.

Cette décision était attendue depuis que la Commission européenne avait adopté, le 10 juillet 2023, une décision d’adéquation similaire constatant que les États-Unis garantissaient un niveau de protection des données à caractère personnel équivalent à celui de l’Union européenne.

Cette évolution entraînera des répercussions significatives notamment sur l'utilisation de systèmes d'analyse web et de services cloud par les entreprises suisses. Avec la certification appropriée des entreprises américaines sous le Swiss-U.S. Data Privacy Framework, les données personnelles peuvent être traitées par des services tels que ceux offerts par des fournisseurs de cloud et d'analyse web, sans les restrictions antérieurement imposées qui exigeaient des garanties additionnelles. Toutefois, il incombe aux entreprises suisses de vérifier que les fournisseurs de ces services soient dûment certifiés conformément au Swiss-U.S. Data Privacy Framework, ce qui est le cas pour les plus connues et utilisées dans le domaine, tels que Google, Amazon ou Microsoft. 

Il convient d'aborder ce développement avec une certaine prudence, en tenant compte des précédentes expériences européennes en matière de transferts de données vers les États-Unis. Les arrêts Schrems I et Schrems II de la Cour de justice de l’Union européenne (CJUE) ont démontré la complexité et les défis liés à l'adéquation de la protection des données en dehors de l'Espace économique européen. Dans l'affaire Schrems I (2015), la CJUE a invalidé le Safe Harbour, tandis que dans Schrems II (juillet 2020), elle a invalidé le Privacy Shield, remettant en question la suffisance des protections offertes par les États-Unis en matière de surveillance gouvernementale et d'accès aux données des citoyens européens. 

Ces décisions soulignent l'importance de la vigilance et de l'évaluation continue des cadres de protection des données par les autorités compétentes. Les entreprises suisses devront rester attentives aux développements juridiques et aux éventuelles implications des décisions de la CJUE ou d'autres juridictions qui pourraient affecter la validité du Swiss-U.S. Data Privacy Framework, en sachant que la décision d’adéquation au niveau européen est actuellement sous la loupe de la CJUE.

Dans ce contexte, il est essentiel que les mécanismes de recours et les protections contre l'accès gouvernemental américain aux données soient non seulement formellement établis, comme c’est le cas dans la nouvelle réglementation, mais également effectifs en pratique.

La modification de l’Ordonnance sur la protection des données entrera en vigueur le 15 septembre 2024. À partir de cette date, les entreprises suisses, tout comme les individus, pourront transférer des données personnelles à des entreprises américaines certifiées sans avoir à mettre en œuvre des garanties particulières. Les entreprises américaines actuellement certifiées sont listées ici.

Pour les transferts de données vers des entreprises américaines non certifiées, des garanties telles que les clauses contractuelles types et les évaluations de l'impact des transferts resteront nécessaires. Nous recommandons également de conserver comme solution de repli toutes les garanties préexistantes mises en place pour les entreprises américaines certifiées, compte tenu de l’incertitude historique quant au maintien des décisions d’adéquation pour les USA. 

En conclusion, bien que le Swiss-U.S. Data Privacy Framework représente un progrès significatif pour les transferts de données entre la Suisse et les États-Unis, il est impératif de rester conscient des enseignements tirés des affaires Schrems et de maintenir une surveillance réglementaire rigoureuse pour s'assurer que les droits des entreprises et des individus soient pleinement protégés dans la pratique.