Début secteur de contenu

Début navigateur

le fil d’Ariane (breadcrumb trail)

Fin navigateur



Safe Harbor: arrêt de la CJUE et conséquences pour la Suisse

Dans son arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne a invalidé l’accord Safe Harbor de protection des données entre l’UE et les Etats-Unis. Elle a constaté que la transmission de données personnelles vers les Etats-Unis sous le régime de l’accord dit Safe Harbor était problématique. Qu’implique cette décision pour la Suisse?

Dans son arrêt du 6 octobre 2015 dans l'affaire C-362/14 (Schrems), la Cour de justice de l'Union européenne (CJUE) a invalidé la décision de la Commission selon laquelle les Etats-Unis d'Amérique garantissaient un niveau de protection adéquat des données à caractère personnel transmises. Comme la CJUE le constate, en faisant expressément référence aux révélations de l'ex-collaborateur de l'Agence de sécurité nationale américaine Edward Snowden, il n'existe pour les données transmises aux Etats-Unis dans le cadre de l'accord Safe Harbor aucune protection suffisante contre des accès disproportionnés des autorités. Elle ajoute qu'il n'existe pas non plus de protection juridique efficace contre de tels accès pour les personnes se trouvant hors des Etats-Unis.

En 2008, la Suisse a conclu avec les Etats-Unis un accord comparable et au contenu très similaire: le «U.S.-Swiss Safe Harbor Framework» (ci-après l'accord Safe Harbor Suisse-
E.-U.). Nous avons de ce fait analysé la situation actuelle en matière de transmissions de données de la Suisse vers les Etats-Unis et sommes parvenus à la conclusion que les points faibles mis en lumière par la CJUE s'appliquaient également à l'accord Safe Harbor
Suisse-E.-U.

Ce dernier est en effet un système comportant une autocertification pour des entreprises souhaitant importer des données de la Suisse aux Etats-Unis. Les garanties de protection des données qu'il contient n'engagent cependant que les entreprises certifiées proprement dites, mais pas les autorités publiques. Il n'existe aucune autre réglementation contractuelle ou nationale limitant les accès des autorités à ces données. En revanche, certaines réglementations nationales permettent d'une manière générale la conservation de données personnelles par les autorités américaines ou leur utilisation, sans différenciation, restriction, exception ou limitation d'accès. Il n'y a donc pas de protection adéquate contre les accès disproportionnés des autorités américaines à des données à caractère personnel transmises de la Suisse aux Etats-Unis.

En 2008, ce point n'était pas encore une priorité lors de l'examen des garanties requises en vue de l'accord entre la Suisse et les Etats-Unis. On pouvait à l'époque en toute bonne foi partir du principe que la pratique appliquée par les autorités en matière de traitement de données personnelles était comparable dans les deux pays, de sorte qu'aucun besoin de réglementation n'avait été identifié. Suite aux révélations de Snowden, des divergences flagrantes ont à présent été révélées dans la conception des deux pays de ce qui doit être autorisé pour la préservation de la sécurité nationale. Il y a donc aujourd'hui pour le moins de sérieux doutes par exemple quant à la possibilité de considérer comme proportionnés, selon la conception de la Suisse, les accès des agences américaines de renseignement aux données personnelles de citoyens non américains. Il s'est aussi avéré que les entreprises américaines certifiées donnaient généralement suite immédiatement aux demandes d'accès des autorités américaines, sans respecter les garanties énoncées dans l'accord Safe Harbor Suisse-E.-U.

En outre, les mesures prévues dans cet accord pour assurer la protection juridique des personnes concernées ne sont toujours contraignantes que pour les entreprises certifiées elles-mêmes. Il n'existe par contre aucune protection juridique efficace contre des accès des autorités pour des personnes hors des Etats-Unis. Ces personnes n'ont ainsi aucune possibilité de se défendre, dans le cadre d'une procédure judiciaire, contre le traitement de leurs données par les autorités américaines.

Même si la décision de la CJUE d'invalider l'accord Safe Harbor ne concerne pas directement l'accord conclu avec la Suisse, notre pays ne pourra pas, de l'avis du PFPDT, s'en tenir sans autres à son propre accord, vu les faits mis au jour entre-temps. Il s'agit au contraire de veiller à ce que la Suisse mette à la disposition des personnes exposées aux risques détaillés ci-dessus des instruments qui leur garantissent un niveau de protection de leurs droits fondamentaux au moins égal à celui qu'offre la législation européenne sur la protection des données. Il faut veiller notamment à ce que les nouvelles conventions en vue entre l'Union européenne (UE) et les États-Unis ne puissent pas être contournées par des transferts de données EU-Suisse-États-Unis. La prorogation de la reconnaissance réciproque d'un niveau adéquat de protection des données revêt une grande importance politique et économique pour la Suisse comme pour l'UE.

L'autre possibilité, qui consisterait à assurer un niveau de protection adéquat pour l'échange de données avec les Etats-Unis par des garanties contractuelles (conformément à l'art. 6, al. 2 LPD), ne peut pas non plus empêcher un accès disproportionné des autorités américaines à des données à caractère personnel car un tel contrat entre exportateur et importateur n'est pas contraignant pour les autorités.

Vu les compétences dont le Conseil fédéral dispose pour conclure des accords internationaux relatifs à la protection des données, une clarification ne peut s'effectuer que sur le plan politique. C'est pourquoi nous avons recommandé au Conseil fédéral, dans notre rapport du 23 octobre 2015, de renégotier l'accord «U.S.-Swiss Safe Harbor Framework». Celui-ci doit être renégocié afin de remplir les exigences du droit suisse de la protection des données. Etant donné que seule une démarche commune avec l'UE et ses Etats membres peut permettre d'atteindre nos objectifs, la Suisse doit coordonner son action avec les autorités compétentes de l'Union européenne. Le 16 décembre 2015, Conseil fédéral a donc chargé le Secrétariat d'État à l'économie (SECO) de piloter la suite des travaux visant à conclure un nouvel accord qui protège mieux les droits de la personnalité des personnes concernées. Ces travaux, qui doivent être coordonnés avec ceux de l'UE, sont en cours.

Entre-temps un nouvel accord entre l'UE et les États-Unis est entré en vigueur. Le «Privacy Shield» présente des améliorations importantes par rapport au «Safe Harbor». Pour obtenir un niveau de protection de données équivalent à celui de l'Union européenne, le PFPDT considère qu'un règlement analogue est souhaitable pour la Suisse et soutient donc les démarches entreprises à cet égard par le Conseil fédéral.

L'échange de données avec des entreprises des Etats-Unis ne pouvant être interrompu facilement jusqu'à la clarification de la situation, les sociétés concernées doivent se couvrir d'ici là. A cet égard, il y a lieu de recourir en priorité à des garanties contractuelles complémentaires. Même si, comme indiqué précédemment, ces garanties ne permettent pas de résoudre entièrement le problème des accès disproportionnés des autorités, cette procédure devrait néanmoins améliorer le niveau de protection des données par rapport aux garanties de l'accord Safe Harbor Suisse-E.-U. Nous recommandons donc de régler par contrat les points suivants:

  • Si l'accès à des données personnelles par les autorités américaines ne peut pas être restreint ou empêché, ce problème devrait être, du moins partiellement, compensé par des exigences accrues en matière de transparence du traitement des données. Par conséquent, les personnes concernées devraient être informées clairement et de la manière la plus complète possible que leurs données sont transmises aux Etats-Unis, où les autorités locales peuvent y accéder.

  • Les personnes concernées devraient être soutenues dans une mesure raisonnable pour faire valoir leurs droits aux Etats-Unis. Les demandes d'accès des autorités américaines ne devraient pas être satisfaites les yeux fermés: les entreprises doivent réellement exécuter les procédures qui sont à leur disposition pour empêcher de tels accès, et accepter les jugements qui en résultent.

Ce faisant, il y a lieu de noter qu'en Suisse les personnes concernées ont à tout moment la possibilité de faire examiner des données devant être transmises aux Etats-Unis par un Tribunal civil. Dans de tels cas, il faut attendre un jugement juridiquement valide avant de transmettre les données.

Des informations complémentaires à ce sujet sont disponibles sur notre site Internet.

Retour à vue d'ensemble Safe Harbor

Dernière mise à jour le: 25.08.2016

Fin secteur de contenu