Le PFPDT a publié aujourd’hui son Prise de position sur l’importance du Arrêt de la CJCE sur Schrems II et ses implications pour les transferts de données personnelles vers les Etats-Unis et d’autres pays ne disposant pas d’un niveau de protection adéquat au sens de l’article 6 de la Convention européenne des droits de l’homme. Art. 6 al. 1 LPD formulé dans le rapport. Comme prévu, il considère que le CH-US Privacy Shield ne suffit plus pour une transmission licite de données personnelles de la Suisse vers un destinataire aux Etats-Unis. Les clauses contractuelles types ne sont pas supprimées, mais sont mesures supplémentaires nécessaires.
Dans le détail, le PFPDT constate ce qui suit :
- La liste des Etats permet aux exportateurs de données personnelles de la Suisse vers l’étranger de vérifier si le niveau de protection des données d’un Etat est adéquat avant de transmettre des données à des destinataires dans cet Etat. Les inscriptions sur la liste constituent à cet égard une présomption réfutable Il appartient à chaque exportateur de données d’évaluer de manière indépendante l’adéquation du niveau de protection des données dans le pays tiers concerné afin de déterminer les risques éventuels pour la protection des données.
- Le CH-US Privacy Shield ne sert plus de garantie au sens de la directive sur la protection des données. Art. 6 al. 2 LPD.
- Les clauses contractuelles types ne sont pas supprimées (c’est-à-dire qu’elles sont considérées comme inappropriées en principe), mais :
En conséquence, il faut partir du principe que la CSC et les clauses comparables satisfont aux exigences de garanties contractuelles selon l’art. 6, al. 2, let. a, LPD pour un transfert de données. vers des pays non listés ne sont pas respectées dans de nombreux cas.
Du point de vue du PFPDT, les clauses standard représentent donc ne constituent plus un standard – en ce sens, elles ont donc bien été abrogées dans les faits, comme l’avait déjà fait la CJCE, car elles n’ont plus l’effet d’un standard. Elles ne sont plus suffisantes “dans de nombreux cas” que si elles sont complétées.
Cela montre le problème pratique : jusqu’à présent, les clauses standard étaient souvent considérées comme une condition nécessaire, mais aussi suffisante, du transfert vers des pays tiers, et cette possibilité disparaît désormais sans qu’aucune alternative viable ne soit visible.
Il faut cependant reconnaître que les clauses contractuelles types, selon Article 46, paragraphe 1 du RGPD n’ont jamais signifié que les données pouvaient être transférées sans précaution vers des pays tiers. Au contraire, le transfert n’était autorisé que si des garanties appropriées étaient prévues – par exemple, les clauses types -. et les personnes concernées des droits exécutoires et des voies de recours efficaces étaient disponibles. Cela découle de l’article 46, paragraphe 1, du RGPD et repose sur le fait que les clauses ne lient pas les autorités de l’État destinataire, d’où l’importance particulière de la protection juridique. Et cette dernière fait défaut, du point de vue de la CJCE et du PFPDT, dans le cas des États-Unis. Il était conçu dans la mesure où les clauses contractuelles types ne peuvent avoir qu’un effet normalisateur limité.
En outre, les clauses standard ne peuvent a priori constituer une base pour les transferts internationaux que s’il n’y a aucune raison de les modifier. Respect par l’importateur de douter trop fortement. Mais les clauses contiennent entre autres une assurance de l’importateur que son droit local ne s’oppose pas aux clauses (point 5 des clauses Processor et point II des clauses Controller) ; et cette assurance n’était peut-être pas tout à fait résistante pour les importateurs aux Etats-Unis et dans des pays comparables.
Le PFPDT constate donc que même les clauses complétées ne lient pas les autorités étrangères. Si des accès sont possibles à l’étranger et que le destinataire étranger ne peut pas fournir la “collaboration nécessaire”, les clauses – même complétées – sont sans effet. Dans ce cas, le PFPDT recommande ce qui suit :
Dans de tels cas, l’exportateur suisse de données doit mesures techniques qui empêchent de facto l’accès des autorités aux données personnelles transmises dans le pays de destination. En cas de conservation des données dans le sens d’une simple exploitation en nuage par des prestataires de services dans un État non répertorié, on pourrait par exemple envisager un cryptage qui serait effectué selon les principes BYOK (bring your own key) et BYOE (bring your own encryption), de sorte qu’aucune donnée claire n’est disponible dans le pays de destination et que le prestataire de services n’a pas la possibilité de décrypter lui-même les données. Pour les services allant au-delà de la simple conservation des données dans le pays de destination, l’utilisation de telles mesures techniques s’avère toutefois exigeante. Si de telles mesures ne sont pas possibles, le PFPDT recommande de renoncer à la transmission de données personnelles vers l’Etat non inscrit sur la liste en se fondant sur des garanties contractuelles..