pri­va­tim : trans­fert de don­nées per­son­nel­les vers les États-Unis sur la base du Data Pri­va­cy Framework

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • La cer­ti­fi­ca­ti­on Swiss-US Data Pri­va­cy Frame­work est géné­ra­le­ment recon­nue com­me un niveau suf­fi­sant de pro­tec­tion des don­nées pour la Con­fé­dé­ra­ti­on, les can­tons et les com­mu­nes, mais la responsa­bi­li­té juri­di­que des auto­ri­tés demeure.
  • Avant la trans­mis­si­on à des orga­ni­sa­ti­ons amé­ri­cai­nes : Véri­fier le sta­tut du cer­ti­fi­cat, tenir comp­te de la pos­si­bi­li­té de révo­ca­ti­on et con­ve­nir de scé­na­ri­os de sor­tie con­traignants ain­si que de clau­ses con­trac­tu­el­les standard.

pri­va­tim, la Con­fé­rence des Com­mis­saires sui­s­ses à la pro­tec­tion des don­nées, a publié des recom­man­da­ti­ons sur ” la pro­tec­tion des don­nées “.Trans­fert de don­nées per­son­nel­les à des orga­ni­sa­ti­ons aux États-Unis sur la base du Swiss-US Data Pri­va­cy Frame­workpublié (PDF).

Les recom­man­da­ti­ons com­men­cent par affirm­er que les orga­ni­sa­ti­ons cer­ti­fi­ées doi­vent “dis­po­ser d’un système de gesti­on des don­nées appro­prié”.niveau de pro­tec­tion des don­nées”. C’est le cas pour la Con­fé­dé­ra­ti­on selon l’art. 16 al. 1 LPD et l’art. 8 al. 1 OLPD. Les can­tons ren­voi­ent sou­vent aux décis­i­ons du Con­seil fédé­ral rela­ti­ves à l’a­dé­qua­ti­on (par exemp­le Bâle-Ville : § 23 al. 1 let. a LDI et § 11 al. 1 ODI ; Zurich : § 19 let. a LDI et § 22 al. 1 ODI). 

En con­sé­quence, une Cer­ti­fi­ca­ti­on selon le CH-US DPF (DPF), en règ­le géné­ra­le, éga­le­ment selon les droits can­tonaux de pro­tec­tion des don­nées com­me suf­fi­sam­ment:

Pour les orga­nes publics des can­tons et des com­mu­nes, l’at­te­sta­ti­on [d’u­ne pro­tec­tion adé­qua­te des don­nées pour les ent­re­pri­ses cer­ti­fi­ées selon le Swiss‑U.S. DPF ] n’est pas tou­jours direc­te­ment con­traignan­te sur le plan juri­di­que, mais est géné­ra­le­ment con­sidé­rée com­me une base suf­fi­san­te pour la recon­nais­sance d’un niveau adé­quat de pro­tec­tion des don­nées pour les com­mu­ni­ca­ti­ons ain­si que com­me critère pos­si­ble pour l’éva­lua­ti­on d’im­pact sur la pro­tec­tion des don­nées pour les exter­na­li­sa­ti­ons trans­fron­ta­liè­res de trai­te­ments de don­nées. Cepen­dant, les orga­nes publics des can­tons et des com­mu­nes restent juri­di­quement respons­ables de l’éva­lua­ti­on des ris­ques dans chaque cas particulier.

Il est tou­te­fois indé­niable que le DPF a des pieds d’ar­gi­le, notam­ment en rai­son de l’af­fai­blis­se­ment du PCLOB amé­ri­cain (Pri­va­cy and Civil Liber­ties Over­sight Board) et de l’ex­amen en sus­pens devant le TPI de l’a­dé­qua­ti­on du DPF UE-US (affai­re Latom­be v Com­mis­si­on, Rs. T‑553/23).

pri­va­tim don­ne donc trois recom­man­da­ti­ons pour les Exter­na­li­sa­ti­on des don­nées vers des orga­ni­sa­ti­ons certifiées :

  1. Véri­fierAu moment où il est pré­vu de trans­fé­rer des don­nées per­son­nel­les vers une orga­ni­sa­ti­on pri­vée aux États-Unis, la situa­ti­on juri­di­que dans le domaine du Swiss-US DPF à véri­fier (https://www.dataprivacyframework.gov/list);
  2. Cer­ti­fi­cat de qua­li­téIl con­vi­ent de noter que la rétrac­ta­ti­on ou le non-renou­vel­le­mentLe desti­na­tai­re des don­nées peut à tout moment reti­rer le certificat ;
  3. Scé­na­rio de sor­tieEn cas d’ex­ter­na­li­sa­ti­on du trai­te­ment de don­nées per­son­nel­les à des une orga­ni­sa­ti­on cer­ti­fi­ée Swiss‑U.S. DPF, des scé­na­ri­os de sor­tie doi­vent être pla­ni­fi­és.nes.

Ces recom­man­da­ti­ons sont cer­tai­ne­ment cor­rec­tes sur le fond et cor­re­spon­dent à ce que l’on con­seil­le éga­le­ment aux ent­re­pri­ses pri­vées d’ex­port­er vers les Etats-Unis. Il est judi­cieux, par exemp­le, de Accord sur les clau­ses con­trac­tu­el­les types avec l’im­por­ta­teur amé­ri­cain (avec les adap­t­ati­ons à la Sui­s­se deman­dées par le PFPDT), avec appli­ca­ti­on direc­te ou avec appli­ca­ti­on à la con­di­ti­on que le DPF ne soit plus effi­cace pour l’ex­porta­ti­on vers l’importateur.