Mise en place du Privacy Shield pour la Suisse

Personne n’en a parlé, ou presque. Pourtant, c’est une nouvelle importante pour la protection des données et la transmission à l’étranger (en l’occurrence, vers les Etats-Unis) de données personnelles des citoyens suisses.

Lors de sa séance [du 11 janvier 2017], le Conseil fédéral a pris bonne note de la mise en place de nouvelles conditions pour la transmission des données personnelles de la Suisse vers les États-Unis. Le Privacy Shield remplace l’accord “Safe Harbor” conclu entre la Suisse et les États-Unis, jugé insuffisant par le PFPDT et officiellement abrogé par le Conseil fédéral. Le PFPDT se réjouit de la mise en place de ce nouveau cadre.

C’est par ces quelques mots que le Préposé fédéral à la protection des données et à la transparence (PFPDT) a annoncé sur son site que l’accord Privacy Shield, qui est valable à partir du 12 janvier 2017, est désormais applicable immédiatement aux transferts de données personnelles à destination des Etats-Unis.

Les entreprises américaines ne pourront cependant commencer le processus d’auto-certification auprès du Department of Commerce (DOC) qu’à partir du 12 avril 2017. Le PFPDT assure que durant ce délai de trois mois, aucune procédure ne sera engagée. Le DOC publiera ensuite sur son site Internet une liste de toutes les entreprises certifiées.

Les sociétés qui veulent lancer le processus d’auto-certification doivent cependant procéder au préalable à la mise à jour de leurs conditions générales relatives à la protection des données. Il s’agira notamment de retirer toute mention du Safe Harbor et, évidemment, de respecter les dispositions du nouvel accord.

Les documents relatifs à l’accord peuvent être consultés ici.

Rappel sur le Privacy Shield

L’accord, intitulé Swiss-U.S. Privacy Shield, assurera une protection similaire à celle fournie par l’accord Privacy Shield entre l’Union européenne et les Etats-Unis.

Cet accord, comme le précédent Safe Harbor (dont le pan européen a été invalidé par la justice européenne le 6 octobre 2015), permet notamment de considérer que les Etats-Unis fournissent une protection adéquate pour les données personnelles.

En effet, l’article 6 LPD (loi fédérale sur la protection des données) prévoit qu’aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. Les Etats-Unis n’ont pas de dispositions légales jugées adéquates en matière de protection des données (voir cet article).

L’art. 6 LPD permet cependant de palier à cette situation si des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger. Le Privacy Shield vient précisément jouer ce rôle de garantie.

Le Privacy Shield vient changer plusieurs éléments du Safe Harbor, en particulier concernant l’application des principes généraux de la protection des données (information des utilisateurs, transfert à des tiers, rétention de données, etc.) et devrait normalement assurer une meilleure application de ces principes grâce aux moyens de recours et de résolutions des litiges qui seront à la disposition des utilisateurs. De plus, il existera une possibilité de faire appel à un ombudsman pour mener des investigations si des citoyens suisses estiment que les limites fixées au gouvernement américain en matière d’accès aux données sont dépassées.

Pour ma part, j’estimais en 2016 que le Privacy Shield n’était qu’un bouclier de papier… Il s’agira de voir maintenant comment va se passer la mise en œuvre de cet accord et s’il sera respecté, en particulier en ce qui concerne l’aspect “surveillance de masse”. D’ailleurs, l’accord européen est déjà attaqué devant la Cour de justice de l’Union européenne (CJUE) par Digital Right Ireland et la Quadrature du Net notamment, car le risque d’une collecte de masse n’est pas du tout éliminé.