En date du 27 août 2021, le PFPDT a Clauses contractuelles types révisées (SCC) est en principe reconnu (cf. Communiqué; pas de permalien). Les nouvelles CSC n’autorisent toutefois la communication de données personnelles dans des États ne disposant pas d’une protection adéquate que “dans la mesure où les adaptations et compléments nécessaires à une utilisation sous le droit suisse de la protection des données sont effectués”. Ce que cela signifie concrètement ressort d’un Document de travail du PFPDT avec la même date (PDF).
Le point de départ du PFPDT est le fait que l’exportateur peut être soumis à la fois à la LPD et au RGPD en cas de communication à l’étranger. Dans ce dernier cas, l’exportateur ne peut pas modifier lui-même la CSC, mais il doit néanmoins veiller à ce que les intérêts suisses soient pris en compte. Le PFPDT distingue donc les constellations suivantes :
- La communication sur la base de la nouvelle CSC est uniquement soumise à la LPD. Dans ce cas, l’exportateur doit désigner le PFPDT comme autorité de surveillance compétente. En outre, il devrait prévoir dans une annexe aux CCS que le terme “État membre” dans les CCS signifie (également) la Suisse, que les références au RGPD doivent être comprises comme des références à la LPD et que les nouveaux CCS protègent également les personnes morales jusqu’à l’entrée en vigueur de la LPD révisée (ce qui est discutable à mon avis, car le droit de l’État destinataire peut tout à fait protéger de telles données de manière “adéquate”, même si ce n’est pas nécessairement par le biais du droit local de la protection des données). Mais pour le reste, l’exportateur est relativement libre, et il peut notamment soumettre la CCP au droit suisse et à la compétence des tribunaux suisses, ce que le RGPD ne permet pas pour les nouvelles CCP.
- La communication est soumise à la fois à la LPD et au RGPD.. L’exportateur a ici deux possibilités : Il peut prévoir des CCS distincts pour la LPD et pour le RGPD (c’est-à-dire qu’il peut prévoir que les exportations selon la LPD sont soumises à une autre réglementation que celles selon le RGPD). Ou bien il peut prévoir que le RGPD s’applique à la communication dans son ensemble – ce qui est admissible, car le RGPD confère une protection adéquate. Mais même dans ce cas, l’exportateur ne peut pas ignorer les exigences de la LPD. Il doit au contraire prévoir dans une annexe, même dans ce cas, que le PFPDT est compétent parallèlement à l’autorité compétente de l’EEE, que la Suisse doit également être considérée comme un État membre au sens de la CSC et que la CSC s’applique provisoirement aussi aux données des personnes morales.
Les annexes demandées par le PFPDT correspondent plus ou moins à ce que les exportateurs suisses ont souvent déjà convenu aujourd’hui comme adaptations de l’ ”ancien” SCC, mais à mon avis sur une base volontaire.
Il convient d’ajouter que le PFPDT parle à chaque fois – comme la CSC – d’ ”États membres” ; or, à juste titre, on entend par “États membres” non seulement les États membres de l’UE, mais aussi les pays tiers. Pays de l’EEE d’autant plus que le RGPD est directement applicable dans l’EEE et que les références aux États membres dans le RGPD doivent donc également concerner les autres États de l’EEE. Dans le champ d’application du RGPD, les parties peuvent donc également choisir la compétence d’un tribunal liechtensteinois et soumettre la CSC au droit liechtensteinois.
Les anciennes clauses contractuelles standard, le TBDFA (Swiss Transborder Data Flow Agreement) et le contrat type du Conseil de l’Europe peuvent encore être utilisés. jusqu’au 27 septembre 2021 être utilisés et annoncés au PFPDT. Passé ce délai, ils ne sont plus reconnus. Ils peuvent toutefois, pendant une période transitoire jusqu’au 31 décembre 2022 pour autant que le “traitement des données” (probablement : la communication) et le contrat ne changent pas de manière significative entre-temps. Après cette date, les exportateurs devront toutefois avoir adopté le nouveau SCC (pour autant qu’ils ne souhaitent pas utiliser un autre outil de transfert). Un nouveau TBDFA n’existe pas encore, mais il est en cours d’élaboration.