Vente à emporter (AI)
- Le Conseil fédéral ajoute les Etats-Unis à la liste des Etats offrant un niveau de protection des données adéquat à partir du 15 septembre 2024, pour autant que les destinataires soient certifiés CH‑U.S. Data Privacy Framework.
- Les transferts de données autorisés vers des destinataires américains certifiés ne nécessitent pas de clauses contractuelles types (CCN) et, en règle générale, pas d’évaluation de l’impact du transfert (EIT).
- Il est recommandé aux exportateurs de garantir contractuellement le maintien de la certification et de définir clairement la base (DPF ou SCC).
Lors de sa séance du 14 août 2024, le Conseil fédéral a finalement décidé d’ajouter les Etats-Unis à la liste des Etats offrant un niveau de protection des données adéquat selon l’annexe 1 de l’OLPD, dans la mesure où le destinataire concerné est soumis à la législation sur la protection des données en vertu du Cadre de protection des données CH‑U.S. est certifiée. La modification entrera en vigueur le 15 septembre 2024 (voir les Communiqué de presse à cet effet).
Cela a notamment les effets suivants :
- Divers importateurs comme Microsoft, Google, Amazon ou Salesforce se sont déjà certifiés selon le CH‑U.S. Data Privacy Framework. Dès que la modification du RGPD sera entrée en vigueur, un exportateur dont l’exportation est soumise à la LPD pourra se référer au CH‑U.S.-DPF.
- Les transferts dans ce cadre sont autorisés sans qu’il soit nécessaire de conclure les clauses contractuelles types (CCT).
- Les transmissions intra-groupe peuvent également s’appuyer sur le DPF CH‑U.S., dans la mesure où le destinataire américain est certifié (et peut gérer les obligations et les contraintes correspondantes, y compris les prescriptions pour les transferts onward également intra-groupe).
- Il n’est pas nécessaire de procéder à un Transfer Impact Assessment (TIA) dans la mesure où un transfert se fonde sur le DPF (CH ou UE‑U.S.).
- Si un exportateur s’appuie sur la certification d’un importateur, il doit s’assurer par contrat du maintien de la certification.
- Rien ne s’oppose à ce qu’un transfert se fonde sur la CCN en plus du DPF (CH ou UE-USA) ; au contraire, de nombreuses entreprises procéderont ainsi. Dans ce cas, il est possible de renoncer à un AIT si les CCP ne constituent qu’un filet de sécurité (on peut défendre le point de vue selon lequel un AIT reste nécessaire au sens strict, car il s’agit probablement aussi d’une obligation contractuelle autonome entre les CCP). En Suisse, du moins, le PFPDT n’exigera pas de TIA si le DPF CH-USA constitue une base pour le transfert. Si un TIA continue d’être effectué, il peut en outre être plus simple, car la décision d’adéquation de l’UE pour le DPF UE-USA couvre déjà une partie du droit américain déterminant – cela vaut également lorsqu’un transfert n’est pas couvert par le DPF. En tant qu’exportateur, on devrait toutefois se demander si la base primaire est le DPF (CH ou UE‑U.S.) ou la CSC. Il n’existe pas d’obligation claire de prendre cette décision et de la documenter, mais les conséquences ne sont pas les mêmes. Par exemple, les exigences du SCC et du DPF diffèrent en ce qui concerne l’information des personnes concernées.
- Dans le cas d’une transmission de la Suisse vers un Etat offrant un niveau de protection des données adéquat et d’une transmission ultérieure de cet Etat vers un destinataire américain certifié selon le DPF UE-US, le DPF UE-US couvre la transmission ultérieure. La LPD n’exige pas de s’appliquer à ce cas de transmission ultérieure (car, contrairement au RGPD, elle n’ ”infecte” pas toute la chaîne), et l’importateur américain ne doit pas non plus se faire certifier selon le DPF CH-US pour ce cas.