Close
Que voudriez-vous rechercher?

24 août 2020

Schrems II : Ce qu’il signifie pour des entreprises en Suisse

La décision changera-t-elle vraiment beaucoup?

La décision C-311/18 de la Cour de justice de l’Union européenne (CJUE) sur les transferts internationaux de données personnelles en provenance de l'EEE, publiée le 16 juillet 2020 et connue sous le nom de "Schrems II", fait grand bruit dans les milieux de la protection des données. Il reste à voir ce que cela signifie en pratique, mais il est clair que le transfert de données vers certains pays devient plus compliqué. Mais cela changera-t-il vraiment beaucoup pour la plupart des entreprises en Suisse?

Abrogation du EU-US Privacy Shield

Dans sa décision, la CJUE annule d'une part la décision de la Commission européenne concernant le "EU-US Privacy Shield". Le "Privacy Shield" est un programme américain d'autocertification dans lequel les entreprises américaines s'engagent publiquement et de manière contraignante à respecter la protection des données selon le modèle européen. Sur cette base, des données personnelles pouvaient être transférées à ces entreprises aux États-Unis également dans le cadre du RGPD, bien que du point de vue européen les États-Unis ne disposent pas d'une législation adéquate en matière de protection des données.

Le "Privacy Shield" était particulièrement important pour les entreprises américaines qui offrent à des consommateurs des services basés sur les données, c'est-à-dire à des personnes avec lesquelles elles ne voulaient ou ne pouvaient pas conclure de contrats de protection des données séparés avant avant que ces derniers ne leur transmettent des données personnelles d'autrui depuis l'Europe. Ces contrats de protection des données sont une alternative au Privacy Shield, qui est utilisé par la majorité des entreprises aujourd'hui. Ils sont basés sur des contrats types qui émanent également de la Commission européenne et sont normalement conclus sans modification avec toutes les entreprises de pays tiers peu sûrs auxquelles des données personnelles provenant de l'EEE doivent être communiquées. De cette manière, la protection des données est au moins garantie contractuellement, même dans les pays qui sont "peu sûrs" en termes de protection des données. Ces clauses types existent depuis de nombreuses années et sont solidement établies ; le RGPD les prévoit expressément. La troisième option est celle des "Binding Corporate Rules". Il s'agit de la variante la plus élaborée, mais sur mesure, de la protection contractuelle des données à l'étranger. Il est rarement utilisé en Suisse.

La Suisse dispose également du Privacy Shield

Ce qui s'applique à l'EEE est également vrai pour la Suisse, même si jusqu'à présent, ni le Privacy Shield ni l'utilisation de contrats de protection des données en Suisse ne requièrent formellement le consentement des autorités suisses. Néanmoins, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a noté sur sa "liste de pays" qu'il considère le Privacy Shield, dans la version suisse négociée avec les Etats-Unis sur la base du modèle européen, comme une mesure de protection suffisante pour les exportations de données personnelles vers les Etats-Unis. Il a également estimé jusqu'à présent que les clauses contractuelles types de la Commission européenne étaient suffisantes.

Dans sa décision "Schrems I" de 2015, la Cour européenne de justice a déjà annulé le système précédent de "Safe Harbor" pour les mêmes raisons : De l'avis de la CJUE, les deux programmes ne protègent pas suffisamment les données transférées aux États-Unis contre l'accès des autorités américaines, car les États-Unis n'ont pas voulu s'engager à se limiter à ce qui est absolument nécessaire dans le cas d'un tel accès et à fournir aux personnes concernées en Europe une protection juridique acceptable. Parce que cela viole le droit constitutionnel de l'UE, la Commission européenne n'aurait pas dû approuver le "Privacy Shield". Sa décision a donc été révoquée avec effet immédiat. La décision de la CJUE concernait principalement les possibilités des autorités américaines en matière de renseignement sur les réseaux câblés étrangers (interception de transmissions de données à l'étranger) concernant des personnes non américaines.

Les clauses contractuelles types ne sont pas nécessairement suffisantes

La CJUE s'est également penchée sur les clauses contractuelles types. Cependant, elle ne les a pas abolies, comme certains le craignaient à l'avance, mais a clairement indiqué qu'il ne suffisait pas de les adopter et d'en rester là. Le responsable du traitement doit évaluer les circonstances du transfert spécifique de données et se demander dans quelle mesure les clauses contractuelles types assurent effectivement une protection adéquate des données transférées. Selon le type et le pays du destinataire, il devra prendre des mesures de protection supplémentaires ou s'abstenir d'exporter les données vers le pays ou le destinataire en question si la protection n'est pas garantie malgré le contrat.

En fin de compte, il s'agit du même problème de base que pour le Privacy Shield : aucun des deux instruments ne fournit nécessairement une protection suffisante contre l'accès par les autorités de l'État étranger, il faut donc clarifier si ces droits d'accès sont acceptables ou non dans une perspective européenne. Toutefois, la CJUE ne dit pas ce que cela signifie en pratique. Ce point devra finalement être apprécié par les autorités de protection des données ; elles ont le droit de prendre des mesures contre les exportations de données individuelles, indépendamment de l'utilisation de clauses contractuelles types, comme l'a souligné la CJUE.

Conséquences en droit suisse

En vertu de la loi suisse sur la protection des données (LPD), rien ne changera dans un premier temps. La Cour de justice européenne n’a évidemment pas le pouvoir de décider sous la LPD, et les bases juridiques sont légèrement différentes en Suisse. Comme pour l'arrêt Safe Harbor, les entreprises suisses peuvent continuer à utiliser la version suisse du « Privacy Shield » tant qu'elle est proposée. Cela ne changerait pas légalement si le PFPDT retirait le Privacy Shield de sa liste de pays en tant que mesure de protection reconnue. Jusqu'à l'entrée en vigueur de la LPD révisée, chaque exportateur de données doit décider lui-même si le Privacy Shield offre une protection adéquate. Il y a encore de bonnes raisons de le faire, car les faits qui ont conduit à la levée du Privacy Shield par la CJUE étaient connus depuis le début. Néanmoins, elle a été négociée, conclue et jugée suffisante par le PFPDT.

Si le PFPDT retire maintenant le Privacy Shield de sa liste, c'est probablement avant tout pour convaincre l'UE du renouvellement imminent de la décision d'adéquation de la Suisse. C'est pourquoi il faut même s'y attendre. Bien entendu, les tribunaux suisses sont également libres de déclarer que le Privacy Shield est inadéquat dans un cas précis, mais il n'y a pas eu de cas de ce genre à ce jour. Il est également concevable que les États-Unis annulent maintenant le Privacy Shield et le rendent ainsi obsolète. Toutefois, aucune de ces menaces n'est imminente. C'est pourquoi les entreprises qui doivent seulement se conformer à la LPD ne subissent pas de pression immédiate pour trouver une alternative aux exportations de données de la Suisse vers les États-Unis.

Le Privacy Shield n'est pas le problème principal

Quoi qu'il en soit, en raison de l'effet factuel de la décision de la CJUE, il faut s'attendre à ce que le Privacy Shield ne soit plus appliqué en Suisse à l'avenir. Dans la pratique, il n'est généralement pas approprié d'utiliser une solution différente pour les exportations de données personnelles dans le cadre de la LPD que celle qui est également suffisante dans le cadre du RGPD. Les fournisseurs américains voudront également une solution pour l'ensemble de l'Europe. Comme première mesure immédiate, ils adapteront leurs contrats pour qu'ils se réfèrent désormais aux clauses contractuelles types de la Commission européenne, s'ils ne le font pas déjà. Suite à l'arrêt de la CJUE sur le Safe Harbor en 2015, la plupart des entreprises ont déjà converti leurs contrats ; cette partie de l'arrêt de la CJUE n'affectera donc pas vraiment de nombreuses entreprises.

Plus critiques sont les points d'interrogation que la CJUE a soulevés concernant les clauses contractuelles types, car celles-ci sont essentielles pour l'échange mondial de données. Bien que la CJUE n’invalide ni ces clauses ni la décision de la Commission européenne les approuvant, elle indique clairement qu'elles ne sont pas nécessairement suffisantes pour justifier un transfert de données vers un pays ne disposant pas d'une protection juridique adéquate des données, car le problème est ici essentiellement le même qu'avec le Privacy Shield. C'est exact, car l'obligation contractuelle d'un destinataire de données aux États-Unis ou dans tout autre pays ne protège pas contre l'accès des autorités de ces pays à ses données lorsque leur propre législation l'exige.

Quand les clauses contractuelles types sont-elles encore suffisantes?

Alors que l'opinion dominante était auparavant que le risque d'un tel "Lawful Access" est normalement suffisamment couvert par les clauses contractuelles types, cette conclusion ne peut plus être tirée en termes généraux pour le RGPD. Ce que cela signifie exactement n'est pas encore clair et dépendra de facto de ce que les différentes autorités de protection des données de l'EEE et le Comité Européen de la Protection des Données (EDPB) exigeront. Ils pourraient exiger que les exportations vers des entreprises présentant du point de vue de l'UE un risque particulièrement élevé d'accès non autorisé aux autorités ne soient plus autorisées, ce qui signifie inversement que l'entreprise devrait procéder à une évaluation du risque d'un tel accès ; c'est déjà une pratique courante dans le domaine des secrets professionnels. Si le risque d'interception par les autorités américaines est suffisamment faible en raison des mesures de cryptage et que les possibilités d'accès restantes des autorités sont soumises à un recours juridique complet, les clauses contractuelles types peuvent encore suffire.

Il est également possible qu'à l'avenir les entreprises doivent documenter plus en détail leurs exportations de données dans leurs contrats et obtenir des avis d'experts concernant les possibilités d'accès à l'étranger. Des clauses supplémentaires seront probablement nécessaires, telles que l'obligation pour le destinataire des données d'intenter toute action en justice contre un tel accès. En tout état de cause, la Commission européenne devrait maintenant rédiger de nouvelles versions de ses clauses contractuelles types. Il faut également garder une chose à l'esprit : Les possibilités d'interception par des autorités, qui ont fait l'objet de la décision de la CJUE, concernent principalement les consommateurs qui utilisent les médias sociaux et autres services de communication de fournisseurs américains de services en ligne accessibles au public. Elles concernent les entreprises qui transfèrent des données personnelles via des connexions cryptées, par exemple entre des filiales européennes et américaines, uniquement à titre secondaire, voire pas du tout. Il est donc tout à fait possible que les risques d'"interception" officielle mentionnés par la CJUE n'existent même pas dans une mesure pertinente pour la plupart des situations dans lesquelles des clauses contractuelles types sont utilisées, en raison des mesures de sécurité des données qui sont habituelles aujourd'hui.

Effets en vertu de la LPD

En vertu de la LPD, il est toujours possible de travailler avec les clauses contractuelles types. Toutefois, comme en Suisse la responsabilité d'une protection adéquate des données a toujours incombé non pas au PFPDT mais à l'exportateur de données concerné, la décision ne change rien sur le plan juridique non plus : toute personne qui transfère des données vers un pays tiers peu sûr sur la base d'un contrat doit (continuer à) s'assurer que le contrat offre effectivement une protection adéquate.

Il se pourrait bien que le PFPDT, pour les raisons de politique juridique mentionnées ci-dessus, estime désormais que dans certains cas, les clauses contractuelles types ne suffisent plus, comme cela a toujours été le cas par le passé. Bien entendu, il n'y a pas non plus de situation vraiment nouvelle ici. Dans la mesure où seules les exportations de la Suisse sont concernées et qu'elles ne sont pas soumises à la RGPD, les clauses contractuelles types de la Commission européenne peuvent toujours être utilisées ; il n'y a pas de nécessité juridique immédiate d'agir dans le cadre de la LPD.

Le PFPDT supprime-t-il la reconnaissance des clauses contractuelles types?

Cela ne changera que lorsque le PFPDT retirera la reconnaissance des clauses contractuelles types, ce qui ne les rendra pas caduques, mais déclenchera une obligation de notification élargie en vertu de l'art. 6 al. 3 LPD, selon laquelle les dispositions relatives à l'exportation de données devront lui être soumises dans un délai de 30 jours pour avis individuel. Il reste à voir si le PFPDT veut vraiment s'infliger cela, car cela augmenterait massivement sa charge de travail - les entreprises ne pourraient plus lui signaler l'utilisation des clauses contractuelles types de l'UE par une simple lettre sans autre explication, comme c'est le cas en vertu du droit existant. Dans le cadre de la LPD révisée, la situation va quelque peu changer, car c'est le Conseil fédéral qui décide quels pays ont une protection adéquate. D'ici là, cependant, le Privacy Shield ne devrait plus être un problème de toute façon, et nous espérons que la question des clauses contractuelles types en Europe sera également clarifiée en principe.

Une autre option pour le PFPDT serait de maintenir la reconnaissance des clauses contractuelles types de l'UE, mais d'exiger des mesures de protection supplémentaires dans le cadre des principes de traitement prévus à l'article 4 LPD et de l'exigence de sécurité des données prévue à l'article 7 LPD pour les exportations, du moins dans certains pays tiers peu sûrs. Le PFPDT a fait la même chose au moment où la CJUE a déclaré que le Safe Harbor n'était pas valable. Toutefois, il s'agissait également d'un "changement de pratique" motivé par une politique purement juridique pour plaire à l'UE ; même à cette époque, il n'y a pas eu de véritable changement de la situation en ce qui concerne le risque de Lawful Access à l'étranger.

La nécessité concrète d'agir

Pour les entreprises en Suisse, cela signifie que - comme c'est déjà le cas avec le Safe Harbor - elles devront tôt ou tard identifier et documenter les exportations de données personnelles depuis la Suisse (ou ailleurs en Europe) dans des pays tiers peu sûrs et déterminer si elles sont basées uniquement sur le Privacy Shield ou si une autre justification légale s'applique. Si le traitement des données personnelles en question est soumis à la RGPD, il faut commencer immédiatement. Si en revanche, les règles de la LPD s’appliquent, les entreprises ont plus de temps à disposition. Lorsque seul le Privacy Shield est utilisé, en tout cas sous le régime du RGPD, elles devraient en tout état de cause conclure immédiatement des contrats avec les clauses contractuelles types pour éviter le risque d'une amende, même si de nombreuses questions restent sans réponse à cet égard. Les premières recommandations (sérieuses) des autorités de protection des données seront certainement bientôt disponibles; les premières réactions telles que celles du commissaire à la protection des données et à la liberté de l'information de Berlin, visant à transférer en Europe toutes les données personnelles stockées aux États-Unis, sont toutefois déraisonnables. Ce n'est que dans les semaines et les mois à venir que l'on verra à quel point la pratique actuelle de traitement des clauses contractuelles types doit réellement être modifiée. Le tollé initial était également grand après Safe Harbor, mais il s'est ensuite largement apaisé et la normalité est revenue.

Personnes de contact: David Rosenthal (Zurich) et Lorenz Ehrler (Genève)

Auteur: David Rosenthal

Catégorie: Data & Privacy

Auteur